api - example - test google oauth




I token di aggiornamento di Google scadono? (5)

Ho usato il token di aggiornamento più volte in un breve periodo a scopo di test, ma mi chiedo, il token di aggiornamento di Google scade? Oppure posso chiamare lo stesso token di aggiornamento per ottenere un altro token di accesso ancora e ancora in un lungo periodo (una settimana o anche mesi)?


Ho effettuato ulteriori ricerche e sembra che il token di accesso di Google sia utilizzato per recuperare un token di aggiornamento, durante la prima richiesta "offline". Da questo punto in poi, il token di aggiornamento viene utilizzato per emettere un nuovo token di accesso. L'idea è che un token di accesso sia un token a breve termine, ma può essere rinnovato da un token di aggiornamento a lungo termine. Ciò elimina la necessità di dover richiedere la variabile 'codice' URL, che richiede un approccio a due endpoint e deve essere avviata, utilizzando una richiesta basata su referrer:

http://www.jensbits.com/2012/01/09/google-api-offline-access-using-oauth-2-0-refresh-token/

Alcuni servizi API REST come Dropbox rilasciano token di accesso che durano per sempre, ma Google rilascia token di accesso a breve termine. PayPal utilizza un compromesso, in base al quale consente di recuperare i token di accesso senza l'applicazione dei referrer URI. Ciò significa che i token di accesso possono essere recuperati senza dover fare clic su un collegamento per avviare il processo. La metodologia di Google indica che le routine API devono essere chiamate solo sulla necessità di utilizzare la base. In sostanza, le chiamate vengono avviate tramite procedure basate sui referrer. Questo è controllato emettendo token di accesso di breve durata o token di accesso che devono essere aggiornati in una catena. Ciò richiede agli sviluppatori di riflettere più attentamente su come dovrebbe fluire un sistema.


I token di aggiornamento rilasciati dal server di Google Auth non scadono mai: questo è l'intero punto dei token di aggiornamento. Il token di aggiornamento scadrà (o dovrei dire diventare non autorizzato) quando l'utente revoca l'accesso alla tua applicazione.

Riferisci questo doc indica chiaramente la funzione dei token di aggiornamento.

Invece di rilasciare un token di lunga durata (in genere buono per un anno o una durata illimitata), il server può emettere un token di accesso di breve durata e un token di aggiornamento a lunga durata. Quindi, in breve, è possibile utilizzare i token di aggiornamento ancora e ancora fino a quando l'utente che ha autorizzato l'accesso revoca l'accesso alla propria applicazione.


Le regole sono cambiate in questo momento nel 2017, quindi la risposta migliore è che dipende dal prodotto. Ad esempio, sull'API Gmail, il token di aggiornamento Oauth 2.0 scade dopo la modifica della password. Vedi questo https://support.google.com/a/answer/6328616?hl=en

Prima abbiamo configurato l'accesso API e generato i token di aggiornamento quando abbiamo installato NUOVI utenti di Gmail, quindi abbiamo potuto archiviare la loro posta (siamo obbligati a farlo per legge), ma ora non appena cambiano la password, il token di aggiornamento è revocato.

Forse per youtube, mappe, il token di aggiornamento è ancora veramente longevo, ma per gmail api, conta su un token breve.


Non penso che sia completamente vero:

Si noti che esistono limiti al numero di token di aggiornamento che verranno emessi; un limite per combinazione client / utente e un altro per utente su tutti i client. È necessario salvare i token di aggiornamento nella memoria a lungo termine e continuare a utilizzarli finché rimangono validi. Se la tua applicazione richiede troppi token di aggiornamento, potrebbe incorrere in questi limiti, nel qual caso i token di aggiornamento più vecchi smetteranno di funzionare.

da questa pagina: https://developers.google.com/youtube/v3/guides/authentication#installed-apps

Quello è dai documenti youTube (che trovo essere molto meglio di altri documenti API), ma penso che sia lo stesso in tutte le app di google.






access-token