Esta é a documentação da Apigee e da Apigee híbrida.
Confira a documentação da Apigee Edge.
Os tokens de atualização são usados para receber novos tokens de acesso depois que o token de acesso original expira ou é revogado. Os tokens de atualização podem ser emitidos junto com os tokens de acesso com alguns dos tipos de concessão.
Antipadrão
Os tokens de atualização podem ser emitidos pela Apigee ou por recursos externos. No entanto, isso é um antipadrão se o token de atualização nunca for usado pela operação RefreshAccessToken.
Impacto
Manter tokens de atualização desnecessariamente afeta negativamente o desempenho e a confiabilidade do sistema de autenticação.
Prática recomendada
Se o token de atualização nunca for necessário
Se não forem necessários, os desenvolvedores devem usar os tipos de concessão "credenciais do cliente" ou "implícita" ao gerar novos tokens de acesso. Esses tipos de concessão não emitem tokens de atualização, o que é desejável se a funcionalidade de token de atualização não for necessária.
Se o proxy realizar apenas a operação de leitura com tokens de atualização
A Apigee oferece a política GetOAuthV2Info, que pode ser usada para recuperar atributos do token de atualização. Os desenvolvedores não devem usar essa política para validar tokens de atualização. É um antipadrão que o token de atualização nunca seja usado para trocar por um novo token de acesso. A Apigee pode trabalhar com tokens de acesso e atualização externos. Se o fluxo de token de atualização acontecer fora da Apigee, é altamente recomendável usar a operação RefreshAccessToken para que todos os tokens de atualização importados que não são mais válidos sejam removidos do sistema da Apigee.