Stai visualizzando la documentazione di Apigee e Apigee hybrid.
Visualizza la documentazione di
Apigee Edge.
I token di aggiornamento vengono utilizzati per ottenere nuovi token di accesso dopo che il token di accesso originale è scaduto o è stato revocato. I token di aggiornamento vengono emessi facoltativamente insieme ai token di accesso con alcuni tipi di concessione.
Antipattern
I token di aggiornamento possono essere emessi da Apigee o tramite risorse esterne. Tuttavia, questo è un antipattern se il token di aggiornamento non viene mai utilizzato tramite l'operazione RefreshAccessToken.
Impatto
La persistenza non necessaria dei token di aggiornamento influisce negativamente sia sulle prestazioni che sull'affidabilità del sistema di autenticazione.
Best practice
Se il token di aggiornamento non è mai necessario
Se non sono necessari token di aggiornamento, gli sviluppatori devono utilizzare i tipi di concessione "credenziali client" o "implicita" durante la generazione di nuovi token di accesso. Questi tipi di concessione non emettono token di aggiornamento, il che è auspicabile se la funzionalità del token di aggiornamento non è richiesta.
Se il proxy esegue solo l'operazione di lettura con i token di aggiornamento
Apigee offre GetOAuthV2Info, che può essere utilizzato per recuperare gli attributi del token di aggiornamento. Gli sviluppatori non devono utilizzare questa policy per convalidare i token di aggiornamento. È un antipattern che il token di aggiornamento non venga mai utilizzato per lo scambio con un nuovo token di accesso. Tieni presente che Apigee può funzionare con token di accesso e di aggiornamento esterni. Se il flusso del token di aggiornamento avviene al di fuori di Apigee, è consigliabile utilizzare l'operazione RefreshAccessToken in modo che tutti i token di aggiornamento importati non più validi vengano rimossi correttamente dal sistema Apigee.
Per approfondire
Aggiornamento di un token di accesso