webentwicklung-frage-antwort-db.com.de

Laufen Google-Aktualisierungstoken ab?

Ich habe das Aktualisierungstoken in kurzer Zeit mehrere Male zu Testzwecken verwendet, aber ich frage mich, ob das Google-Aktualisierungstoken abläuft. Oder kann ich dasselbe Aktualisierungstoken aufrufen, um über einen längeren Zeitraum (eine Woche oder sogar Monate) immer wieder ein anderes Zugriffstoken zu erhalten?

98

Die von Google Auth Server ausgegebenen Aktualisierungstoken verfallen nie - das ist der springende Punkt bei den Aktualisierungstoken. Das Aktualisierungstoken läuft ab (oder sollte nicht autorisiert werden), wenn der Benutzer den Zugriff auf Ihre Anwendung widerruft.

Siehe dies doc gibt die Funktion der Aktualisierungstoken deutlich an.

Anstatt ein langlebiges Token (in der Regel ein Jahr oder eine unbegrenzte Lebensdauer) auszustellen, kann der Server ein kurzlebiges Zugriffstoken und ein langlebiges Aktualisierungstoken ausstellen. Kurz gesagt, Sie können Refresh-Token immer wieder verwenden, bis der Benutzer, der den Zugriff autorisiert hat, den Zugriff auf Ihre Anwendung widerruft.

134
Shadow

Dies ist ein sehr verwirrender Thread. Die erste Antwort scheint richtig zu sein, zitiert aber eigentlich nichts Autoritäres von Google.

Die endgültigste Antwort, die ich gefunden habe, befindet sich auf dem Spielplatz des Entwicklers, auf dem Sie das Token erhalten. In Schritt 2 befindet sich unten eine Notiz mit der Aufschrift:

"Hinweis: Auf dem OAuth Spielplatz werden keine Aktualisierungstoken gespeichert. Da Aktualisierungstoken jedoch niemals ablaufen, sollten Nutzer die Seite" Autorisierter Zugriff für Google-Konto "aufrufen, um sie manuell zu widerrufen."

https://developers.google.com/oauthplayground/

52
Josh Hunter

Das halte ich nicht für ganz richtig:

Beachten Sie, dass die Anzahl der ausgegebenen Aktualisierungstoken begrenzt ist. Ein Limit pro Client/Benutzer-Kombination und ein weiteres pro Benutzer für alle Clients. Sie sollten Aktualisierungstoken im Langzeitspeicher speichern und sie so lange verwenden, wie sie gültig sind. Wenn Ihre Anwendung zu viele Aktualisierungstoken anfordert, werden diese möglicherweise überschritten. In diesem Fall funktionieren ältere Aktualisierungstoken nicht mehr.

von dieser Seite: https://developers.google.com/youtube/v3/guides/authentication#installed-apps

Das ist von den youTube-Dokumenten (die ich als viel besser empfinde als andere API-Dokumente), aber ich denke, dass sie für alle Google Apps gleich sind.

14
Roaders

sieh dir das an:

Aktualisierungstoken sind gültig, bis der Benutzer den Zugriff widerruft. Dieses Feld ist nur vorhanden, wenn access_type = offline in der Berechtigungscode-Anforderung enthalten ist.

in https://developers.google.com/accounts/docs/OAuth2WebServer

4
karl

Irgendwann im Jahr 2017 haben sich die Regeln dahingehend geändert. Die beste Antwort ist meines Erachtens, dass sie vom Produkt abhängt. In der Google Mail-API läuft beispielsweise das Oauth= 2.0-Aktualisierungstoken bei einer Kennwortänderung ab. Siehe hierzu https://support.google.com/a/answer/6328616?hl = en

Früher haben wir den API-Zugriff im Voraus eingerichtet und Aktualisierungstoken generiert, wenn wir NEUE Google Mail-Benutzer eingerichtet haben. Anschließend konnten wir ihre E-Mails archivieren (dies ist gesetzlich vorgeschrieben). Sobald sie jedoch ihr Kennwort ändern, wird das Aktualisierungstoken verwendet wird widerrufen.

Vielleicht ist das Aktualisierungstoken für YouTube, Maps noch sehr langlebig, aber für Google Mail API ist ein kurzes Token erforderlich.

3
TonyE

Das Hauptkonzept des Refresh-Tokens ist, dass es lange hält und niemals abläuft.

Das Zugriffstoken hat eine Ablaufzeit und läuft ab. Sobald diese Zeit abgelaufen ist, können wir das Aktualisierungstoken anfordern, das immer wieder verwendet wird, bis der Benutzer sein Konto widerruft.

2
Shiven Ojha