Estás viendo la documentación de Apigee y Apigee Hybrid.
Consulta la documentación de Apigee Edge.
Los tokens de actualización se usan para obtener nuevos tokens de acceso después de que el token de acceso original venza o se revoque. De forma opcional, los tokens de actualización se emiten junto con los tokens de acceso con algunos tipos de otorgamiento.
Antipatrón
Apigee puede emitir tokens de actualización o estos pueden provenir de recursos externos. Sin embargo, esto es un antipatrón si el token de actualización nunca se usa a través de la operación RefreshAccessToken.
Impacto
Persistir tokens de actualización innecesariamente afecta negativamente el rendimiento y la confiabilidad del sistema de autenticación.
Práctica recomendada
Si nunca se necesita el token de actualización
Si no se necesitan tokens de actualización, los desarrolladores deben usar los tipos de concesión "credenciales de cliente" o "implícito" cuando generen tokens de acceso nuevos. Estos tipos de otorgamiento no emiten tokens de actualización, lo que es conveniente si no se requiere la funcionalidad de tokens de actualización.
Si el proxy solo realiza operaciones de lectura con tokens de actualización
Apigee ofrece GetOAuthV2Info, que se puede usar para recuperar atributos del token de actualización. Los desarrolladores no deben usar esta política para validar tokens de actualización. Es un antipatrón que el token de actualización nunca se use para intercambiarlo por un token de acceso nuevo. Ten en cuenta que Apigee puede trabajar con tokens de acceso y actualización externos. Si el flujo del token de actualización ocurre fuera de Apigee, se recomienda usar la operación RefreshAccessToken para que los tokens de actualización importados que ya no sean válidos se quiten correctamente del sistema de Apigee.