Срок действия refresh_token по протоколу Oauth 2.0 в API Box v2

Документы oauth говорят:
Каждый access_token действителен в течение 1 часа, а каждый токен обновления действителен в течение 14 дней. Чтобы использовать refresh_token для получения нового access_token, отправьте запрос POST на https://api.box.com/oauth2/token

В этом ответе вы получите как новый access_token, так и refresh_token. Токен refresh_token, который вы использовали для этого запроса, больше недействителен.

Вопросы: 1) Если случайно я не могу сохранить этот новый refresh_token, тогда старый refresh_token недействителен?

2) Разве не может быть токена обновления, который действителен всегда, и мы генерируем только access_token?


oauth-2.0 box-api
person Anurag    schedule 18.12.2012    source источник

Ответы (2)


arrow_upward
0
arrow_downward

1) Да, когда создается новый refresh_token, предыдущий становится недействительным.

2) Часть спецификации OAuth 2 включает аннулирование старых refresh_tokens в обмен на новый. Это не самое захватывающее чтение, но все это вы можете увидеть здесь: http://tools.ietf.org/html/draft-ietf-oauth-v2-31

person seanrose    schedule 18.12.2012
comment
Итак, что произойдет, если мы не сможем сохранить refresh_token и снова использовать старый refresh_token? - person Anurag; 18.12.2012
comment
Это выдаст вам ошибку о том, что ваш refresh_token недействителен. Если вы используете обновление, оно считается израсходованным в соответствии со спецификацией OAuth2. - person Peter; 18.12.2012
comment
Сложно понять проблему. Вы получите новое освежение, когда получите новый токон. Так что храните его в памяти или сериализуйте. - person MikeHunter; 19.12.2012

arrow_upward
0
arrow_downward

Фактически, мы просто изменили это так, чтобы не избавляться от вашего старого токена обновления, пока вы не используете новый токен доступа.

person Peter    schedule 01.11.2013