api oauth - I token di aggiornamento di Google scadono?




test debugger (7)

Ho usato il token di aggiornamento più volte in un breve periodo a scopo di test, ma mi chiedo, il token di aggiornamento di Google scade? Oppure posso chiamare lo stesso token di aggiornamento per ottenere un altro token di accesso ancora e ancora in un lungo periodo (una settimana o anche mesi)?


Answers

Le regole sono cambiate in questo momento nel 2017, quindi la risposta migliore è che dipende dal prodotto. Ad esempio, sull'API Gmail, il token di aggiornamento Oauth 2.0 scade dopo la modifica della password. Vedi questo https://support.google.com/a/answer/6328616?hl=en

Prima abbiamo configurato l'accesso API e generato i token di aggiornamento quando abbiamo installato NUOVI utenti di Gmail, quindi abbiamo potuto archiviare la loro posta (siamo obbligati a farlo per legge), ma ora non appena cambiano la password, il token di aggiornamento è revocato.

Forse per youtube, mappe, il token di aggiornamento è ancora veramente longevo, ma per gmail api, conta su un token breve.



Non penso che sia completamente vero:

Si noti che esistono limiti al numero di token di aggiornamento che verranno emessi; un limite per combinazione client / utente e un altro per utente su tutti i client. È necessario salvare i token di aggiornamento nella memoria a lungo termine e continuare a utilizzarli finché rimangono validi. Se la tua applicazione richiede troppi token di aggiornamento, potrebbe incorrere in questi limiti, nel qual caso i token di aggiornamento più vecchi smetteranno di funzionare.

da questa pagina: https://developers.google.com/youtube/v3/guides/authentication#installed-apps

Quello è dai documenti youTube (che trovo essere molto meglio di altri documenti API), ma penso che sia lo stesso in tutte le app di google.


I token di aggiornamento rilasciati dal server di Google Auth non scadono mai: questo è l'intero punto dei token di aggiornamento. Il token di aggiornamento scadrà (o dovrei dire diventare non autorizzato) quando l'utente revoca l'accesso alla tua applicazione.

Riferisci questo doc indica chiaramente la funzione dei token di aggiornamento.

Invece di rilasciare un token di lunga durata (in genere buono per un anno o una durata illimitata), il server può emettere un token di accesso di breve durata e un token di aggiornamento a lunga durata. Quindi, in breve, è possibile utilizzare i token di aggiornamento ancora e ancora fino a quando l'utente che ha autorizzato l'accesso revoca l'accesso alla propria applicazione.


Il concetto principale di token di aggiornamento è che dura a lungo e non scade mai.

Il token di accesso ha una scadenza e scade, una volta scaduto, possiamo usare il token di aggiornamento, che verrà utilizzato ancora e ancora fino a quando l'utente non revocherà dal suo account.


Questo è un thread molto confuso. La prima risposta sembra giusta, ma in realtà non cita nulla di autorevole da Google.

La risposta più definitiva che ho trovato è in realtà nel parco giochi dello sviluppatore in cui ottieni il token. Il passaggio 2 ha una nota in fondo che dice:

"Nota: OAuth Playground non memorizza i token di aggiornamento, ma poiché i token di aggiornamento non scadono mai, l'utente deve accedere alla pagina di accesso autorizzato dell'account Google se desidera revocarli manualmente."

https://developers.google.com/oauthplayground/






api google-api token access-token