在Web服务器授权流程中
从授权机构获得授权代码后(在用户授权我的访问权限之后),该代码通常有效期为多长时间?
我要问的原因是,我的网络服务器可以存储该代码并在以后的 session 中使用它来检索新的访问 token ,而无需用户再次进行重新身份验证吗?那应该是潮流吗?
仅供引用,我的目标是代表我的客户从Adobe Analytics和Google Analytics(分析)发出请求。因此,我想向我的客户请求一次授权,直到他撤销我的访问权限。
最佳答案
严格来讲Google Oauth。您应注意三种类型的代码或 token 。
当用户单击接受您的应用程序访问其数据时,将返回授权码。此代码用于交换访问 token 和刷新 token 。该代码只能使用一次,而且我相信它只能短暂使用10分钟。
访问 token 用于访问私有(private)用户数据。有效期约为一小时。
当访问 token 过期时,刷新 token 用于获取新的访问 token 。在大多数情况下,刷新 token 不会过期,但是,如果六个月未使用刷新 token ,它将不再有效,并且用户当然可以随时删除您的访问权限。
答:不存储身份验证代码将毫无意义。您将需要存储刷新 token 。确保您请求用户的脱机访问。
我无法为您提供Adobe Analytics的帮助,但是我怀疑这与我们正在谈论的标准Oauth协议(protocol)相似。