Estás viendo la documentación de Apigee Edge.
Ve a la
documentación de Apigee X. info
Los tokens de actualización se usan para obtener nuevos tokens de acceso después de que el token de acceso original venza o se revoque. De forma opcional, los tokens de actualización se emiten junto con los tokens de acceso con algunos tipos de otorgamiento.
Antipatrón
Apigee o los recursos externos pueden emitir tokens de actualización. Sin embargo, este es un patrón antipatrón si el token de actualización nunca se usa a través de la operación RefreshAccessToken.
Impacto
La persistencia de tokens de actualización de forma innecesaria afecta negativamente el rendimiento y la confiabilidad del sistema de autenticación.
Práctica recomendada
Si nunca se necesita el token de actualización
Si no se necesitan tokens de actualización, los desarrolladores deben usar los tipos de concesión "credenciales de cliente" o "implícito" cuando generen tokens de acceso nuevos. Estos tipos de otorgamiento no emiten tokens de actualización, lo que es conveniente si no se requiere la funcionalidad de tokens de actualización.
Si el proxy solo realiza operaciones de lectura con tokens de actualización
Apigee ofrece GetOAuthV2Info, que se puede usar para recuperar los atributos del token de actualización. Los desarrolladores no deben usar esta política para validar tokens de actualización. Es un antipatrón que el token de actualización nunca se use para intercambiar por un nuevo token de acceso. Ten en cuenta que Apigee puede funcionar con tokens de acceso y actualización externos. Si el flujo de tokens de actualización ocurre fuera de Apigee, se recomienda usar la operación RefreshAccessToken para que los tokens de actualización importados que ya no sean válidos se quiten correctamente del sistema de Apigee.