私はYouTubeライブストリーミングAPIと統合されたプログラムを持っています。これはタイマーで動作するので、Refresh Tokenで50分ごとに新しいアクセストークンを取得するようにプログラムするのは比較的簡単です。私の質問は、なぜですか?「リフレッシュトークン」の目的は何ですか?
私はYouTubeで認証されたとき、私にリフレッシュトークンを与えました。その後、このリフレッシュトークンを使用して、1時間に1回、新しいアクセストークンを取得します。私はリフレッシュトークンを持っている場合、これは決して有効期限がないので、これを使って新しいアクセストークンを得ることができます。だから私は最初からアクセストークンを与えるだけでなく、リフレッシュトークンシステム全体を気にするよりも、これがどのように安全であるかわかりません。
基本的に、リフレッシュトークンを使用して新しいアクセストークンを取得します。
は明らかにこれらの2つのトークンを区別し、最大混入を避けるために、ここではその機能はThe OAuth 2.0 Authorization Frameworkに与えられている:
- アクセストークンは、承認を得て、認可サーバーによって、サードパーティのクライアントに発行されていますリソースオーナーのクライアントはアクセストークンを使用して、リソースサーバーによってホストされる保護されたリソースにアクセスします。
- リフレッシュトークンは、アクセストークンを取得するための資格情報です。リフレッシュトークンは、認可サーバーによってクライアントに発行され、現在のアクセストークンが無効または有効期限が切れたときに新しいアクセストークンを取得するため、または同じまたはより狭い範囲の追加のアクセストークンを取得するために使用されます。今
、あなたはまだだけではなく、アクセストークンを確保するリフレッシュトークンを発行された理由について、あなたの質問に答えるために、Refresh tokensにインターネットエンジニアリングタスクフォースが提供する主な理由は次のとおりです。
セキュリティ上の理由があります。
refresh_tokenは承認サーバーとのみ交換されますが、access_tokenはリソースサーバーと交換されます。これにより、「アクセストークンが1時間良い、リフレッシュトークンが1年間良い、または無効になった」vs「アクセストークンがリフレッシュされずに有効になるまでの間、リークするリスクが軽減されます。トークン。" OAuth 2.0のフローのより詳細で完全な情報については
、以下の参考文献を経由してみてください。
SO