Sie lesen gerade die Dokumentation zu Apigee und Apigee Hybrid.
Apigee Edge-Dokumentation aufrufen.
Mit Aktualisierungstokens werden neue Zugriffstokens abgerufen, nachdem das ursprüngliche Zugriffstoken abgelaufen oder widerrufen wurde. Aktualisierungstoken werden optional mit einigen Grant-Typen zusammen mit Zugriffstoken ausgegeben.
Anti-Pattern
Aktualisierungstokens können entweder von Apigee oder über externe Ressourcen ausgestellt werden. Dies ist jedoch ein Antipattern, wenn das Aktualisierungstoken nie über den Vorgang „RefreshAccessToken“ verwendet wird.
Auswirkungen
Das unnötige Speichern von Aktualisierungstokens wirkt sich negativ auf die Leistung und Zuverlässigkeit des Authentifizierungssystems aus.
Best Practice
Wenn das Aktualisierungstoken nie benötigt wird
Wenn keine Aktualisierungstokens erforderlich sind, sollten Entwickler beim Generieren neuer Zugriffstokens die Typen „client credentials“ (Clientanmeldedaten) oder „implicit“ (implizit) verwenden. Bei diesen Grant-Typen werden keine Aktualisierungstokens ausgestellt. Das ist sinnvoll, wenn die Aktualisierungstoken-Funktion nicht erforderlich ist.
Wenn der Proxy nur Lesevorgänge mit Aktualisierungstokens ausführt
Apigee bietet GetOAuthV2Info, mit der Attribute von Aktualisierungstokens abgerufen werden können. Entwickler sollten diese Richtlinie nicht zum Validieren von Aktualisierungstokens verwenden. Es ist ein Antipattern, wenn das Aktualisierungstoken nie gegen ein neues Zugriffstoken eingetauscht wird. Apigee kann mit externen Zugriffs- und Aktualisierungstokens arbeiten. Wenn der Aktualisierungstoken-Ablauf außerhalb von Apigee erfolgt, wird dringend empfohlen, den Vorgang „RefreshAccessToken“ zu verwenden, damit alle importierten Aktualisierungstokens, die nicht mehr gültig sind, ordnungsgemäß aus dem Apigee-System entfernt werden.