我想知道最好的方法是刷新通过OAuth 2.0中的客户端凭据流获得的访问令牌。我已经阅读了规范,但似乎无法找到适合我的特殊情况的答案。
对于我的特定情况,我正在为我的Android应用程序使用Spotify Web API,以搜索内容(曲目,专辑和/或艺术家)。为了执行搜索,我需要访问令牌。由于我对Spotify用户的数据不感兴趣,因此可以使用客户端凭据流来获取访问令牌,这在Spotify的术语here中进行了说明。
由于访问令牌最终可能会过期,因此我必须找出一种在过期后刷新它的方法。我最终想知道的是我的方法是否有效,以及是否对我的方法有任何担忧。
首先,我将访问令牌存储在SharedPreferences中。在onCreate()中,我具有以下内容:
@Override
protected void onCreate(Bundle savedInstanceState) {
// A bunch of other stuff, views being initialized, etc.
mAccessToken = getAccessToken();
// If the access token is expired, then we will attempt to retrieve a new one
if (accessTokenExpired()) {
retrieveAccessToken();
}
}
我已经定义了
accessTokenExpired()和retrieveAccessToken()如下:private boolean accessTokenExpired() {
// If mAccessToken hasn't yet been initialized, that means that we need to try to retrieve
// an access token. In this case, we will return true;
if (mAccessToken == null) {
return true;
}
SharedPreferences preferences = getPreferences(Context.MODE_PRIVATE);
long timeSaved = preferences.getLong(PREFERENCES_KEY_TOKEN_RESPONSE_TIME_SAVED, 0L);
long expiration = preferences.getLong(PREFERENCES_KEY_TOKEN_RESPONSE_EXPIRATION, 0L);
long now = System.currentTimeMillis()/1000;
long timePassed = Math.abs(now - timeSaved);
if (timePassed >= expiration) {
return true;
} else {
return false;
}
}
关于
retrieveAccessToken()值得注意的一件事是我在HTTP请求中使用Retrofit:private void retrieveAccessToken() {
// First, we obtain an instance of SearchClient through our ClientGenerator class
mClient = ClientGenerator.createClient(SearchClient.class);
// We then obtain the client ID and client secret encoded in Base64.
String encodedString = encodeClientIDAndSecret();
// Finally, we initiate the HTTP request and hope to get the access token as a response
Call<TokenResponse> tokenResponseCall = mClient.getAccessToken(encodedString, "client_credentials");
tokenResponseCall.enqueue(new Callback<TokenResponse>() {
@Override
public void onResponse(Call<TokenResponse> call, Response<TokenResponse> response) {
Log.d(TAG, "on Response: response toString(): " + response.toString());
TokenResponse tokenResponse = null;
if (response.isSuccessful()) {
tokenResponse = response.body();
Log.d(TAG, tokenResponse.toString());
mAccessToken = tokenResponse.getAccessToken();
saveAccessToken(tokenResponse);
}
}
@Override
public void onFailure(Call<TokenResponse> call, Throwable t) {
Log.d(TAG, "onFailure: request toString():" + call.request().toString());
mAccessToken = "";
}
});
}
最后,
saveAccessToken(tokenResponse)是accessTokenExpired()的补充,在这里我将令牌响应中的值保存到SharedPreferences中,而不是检索它们。我对此有任何担忧吗?我从this SO post那里得到了这个主意,并对其做了一些修改。 Spotify不在其访问令牌响应中提供刷新令牌。因此,在这里我不能利用它来减少我发出的访问令牌请求的数量。
任何输入对此将不胜感激!
最佳答案
有两个注意事项:
您可能希望对使用访问令牌发出的请求进行一些错误处理,以处理令牌到期和重试。这将有帮助的两种情况是
在检查令牌有效与您的使用之间令牌何时过期
在check the token is valid -> make some requests with the token -> repeat周期中,您花费了一个多小时使用令牌。可以使用的另一种方法是计算now + expected_api_request_time > token_expiration_time,其中expected_api_request_time是您设置的常数,但是我认为将令牌到期作为例外是更好的做法(在网络情况下,您可能希望无论如何都可以重试不稳定)。
您可以执行计算来计算出令牌到期时的时间,或者从本地存储中检索timeSaved和expiration时,或者只是计算令牌最初到期的时间并将其保存。这是相对较小的,我认为这和您完成的方式都很好。