गलत तरीका: रीफ़्रेश फ़्लो को ट्रिगर किए बिना रीफ़्रेश टोकन जारी करना

Apigee Edge का दस्तावेज़ देखा जा रहा है.
Apigee X के दस्तावेज़ पर जाएं. जानकारी

ओरिजनल ऐक्सेस टोकन की समयसीमा खत्म होने या उसे रद्द किए जाने के बाद, नए ऐक्सेस टोकन पाने के लिए रीफ़्रेश टोकन का इस्तेमाल किया जाता है. कुछ तरह के ऐक्सेस टाइप के साथ, ऐक्सेस टोकन के साथ रीफ़्रेश टोकन भी जारी किए जा सकते हैं.

एंटीपैटर्न

रीफ़्रेश टोकन, Apigee या बाहरी संसाधनों से जारी किए जा सकते हैं. हालांकि, अगर रीफ़्रेश टोकन का इस्तेमाल कभी भी RefreshAccessToken ऑपरेशन के ज़रिए नहीं किया जाता है, तो यह एक गलत तरीका है.

असर

रीफ़्रेश टोकन को ज़रूरत से ज़्यादा समय तक सेव रखने से, पुष्टि करने वाले सिस्टम की परफ़ॉर्मेंस और भरोसेमंदता, दोनों पर बुरा असर पड़ता है.

सबसे सही तरीका

अगर रीफ़्रेश टोकन की कभी ज़रूरत नहीं पड़ती

अगर रीफ़्रेश टोकन की ज़रूरत नहीं है, तो डेवलपर को नए ऐक्सेस टोकन जनरेट करते समय, 'क्लाइंट क्रेडेंशियल' या 'असाइन किए गए' अनुदान टाइप का इस्तेमाल करना चाहिए. इन अनुमतियों से रीफ़्रेश टोकन जारी नहीं किए जाते. ऐसा तब करना चाहिए, जब रीफ़्रेश टोकन की सुविधा की ज़रूरत न हो.

अगर प्रॉक्सी, रीफ़्रेश टोकन की मदद से सिर्फ़ पढ़ने की कार्रवाई करता है

Apigee, GetOAuthV2Info एट्रिब्यूट ऑफ़र करता है. इसका इस्तेमाल, रीफ़्रेश टोकन एट्रिब्यूट को फिर से पाने के लिए किया जा सकता है. डेवलपर को रीफ़्रेश टोकन की पुष्टि करने के लिए, इस नीति का इस्तेमाल नहीं करना चाहिए. रीफ़्रेश टोकन का इस्तेमाल, कभी भी नए ऐक्सेस टोकन के बदले नहीं किया जाता. ध्यान दें कि Apigee, बाहरी ऐक्सेस और रीफ़्रेश टोकन के साथ काम कर सकता है. अगर रीफ़्रेश टोकन का फ़्लो, Apigee के बाहर होता है, तो हमारा सुझाव है कि आप RefreshAccessToken ऑपरेशन का इस्तेमाल करें. इससे, इंपोर्ट किए गए ऐसे सभी रीफ़्रेश टोकन को Apigee सिस्टम से सही तरीके से हटाया जा सकता है जो अब मान्य नहीं हैं.

इसके बारे में और पढ़ें

ऐक्सेस टोकन रीफ़्रेश करना