Yenileme jetonunu test amacıyla kısa bir süre içinde birkaç kez kullandım, ancak Google yenileme jetonlarının süresinin dolup dolmadığını merak ediyorum. Uzun bir süre boyunca (bir hafta veya hatta aylarca) başka bir erişim belirteci almak için aynı yenileme jetonunu kullanabilir miyim?
Yanıtlar:
Google Auth sunucusu, Yenileme jetonlarının süresi asla dolmaz - yenileme jetonlarının tüm noktası budur. Kullanıcı uygulamanıza erişimi iptal ettiğinde yenileme belirtecinin süresi dolacak (veya yetkisiz hale geleceğini söylemeliyim).
Bu belgeye bakın , yenileme belirteçlerinin işlevini açıkça belirtir.
Sunucu, uzun süreli bir belirteç (genellikle bir yıl veya sınırsız kullanım ömrü için iyidir) vermek yerine, kısa ömürlü bir erişim belirteci ve uzun ömürlü bir yenileme belirteci verebilir. Kısacası, erişime yetki veren kullanıcı uygulamanıza erişimi iptal edene kadar yenileme belirteçlerini tekrar tekrar kullanabilirsiniz.
Bu çok kafa karıştırıcı bir konu. İlk cevap doğru gibi görünüyor, ancak aslında google'dan yetkili herhangi bir şeyden alıntı yapmıyor.
Bulduğum en kesin cevap aslında geliştiricinin jetonu aldığınız oyun alanında. Adım 2'nin alt kısmında şunu yazan bir not var:
"Not: OAuth Playground, yenileme jetonlarını saklamaz, ancak yenileme jetonlarının süresi hiçbir zaman dolmadığından, kullanıcılar bunları manuel olarak iptal etmek istiyorsa Google Hesabı Yetkili Erişim sayfasına gitmelidir."
Bunun tamamen doğru olduğunu sanmıyorum:
Verilecek yenileme jetonlarının sayısında sınırlar olduğunu unutmayın; İstemci / kullanıcı kombinasyonu başına bir sınır ve tüm istemcilerde kullanıcı başına başka bir sınır. Yenileme jetonlarını uzun süreli depolamaya kaydetmeli ve geçerliliğini sürdürdükleri sürece kullanmaya devam etmelisiniz. Uygulamanız çok fazla yenileme jetonu isterse, bu sınırlara ulaşabilir ve bu durumda eski yenileme jetonları çalışmayı durdurur.
bu sayfadan: https://developers.google.com/youtube/v3/guides/authentication#installed-apps
Bu, youTube belgelerinden (diğer api belgelerinden çok daha iyi bulduğum), ancak tüm Google uygulamalarında aynı olduğunu düşünüyorum.
bunu gör:
Yenileme belirteçleri, kullanıcı erişimi iptal edene kadar geçerlidir. Bu alan yalnızca access_type = offline yetkilendirme kodu isteğine dahilse mevcuttur.
içinde https://developers.google.com/accounts/docs/OAuth2WebServer
Bu konuda kurallar 2017'de bir ara değişti, bu yüzden bence en iyi cevap ürüne bağlı olması. Örneğin, Gmail API'da Oauth 2.0 yenileme simgesinin süresi, şifre değişikliği ile sona erer. Bu https://support.google.com/a/answer/6328616?hl=en bakın
Önceden API erişimini kuruyorduk ve YENİ gmail kullanıcılarını kurduğumuzda yenileme belirteçleri oluşturuyorduk ve ardından postalarını arşivleyebiliyorduk (bunu yasalar gereği yapmak zorundayız), ancak şimdi şifrelerini değiştirir değiştirmez yenileme belirteci iptal edildi.
Belki youtube, haritalar için yenileme jetonu gerçekten uzun ömürlüdür, ancak gmail api için kısa bir jetona güvenebilirsiniz.
Yenileme jetonunun ana konsepti, uzun ömürlü olması ve asla sona ermemesidir.
Erişim belirtecinin bir sona erme süresi vardır ve süresi dolduğunda, kullanıcı hesabından iptal edene kadar tekrar tekrar kullanılacak olan yenileme belirtecine gidebiliriz.
Bunu şu adresten okuyun: https://developers.google.com/identity/protocols/oauth2#expiration Verilen bir yenileme simgesinin artık çalışmayabileceğini tahmin etmek için kodunuzu yazmalısınız. Yenileme jetonu, aşağıdaki nedenlerden biri nedeniyle çalışmayı durdurabilir:
Kullanıcı, uygulamanızın erişimini iptal etti. Yenileme belirteci altı aydır kullanılmadı. Kullanıcı şifreleri değiştirdi ve yenileme belirteci Gmail kapsamlarını içeriyor. Kullanıcı hesabı, verilen (canlı) yenileme jetonlarının maksimum sayısını aştı. Şu anda her müşteri için kullanıcı hesabı başına 50 yenileme jetonu sınırı vardır. Sınıra ulaşılırsa, yeni bir yenileme jetonu oluşturmak, en eski yenileme jetonunu uyarı vermeden otomatik olarak geçersiz kılar. Bu sınır hizmet hesapları için geçerli değildir.
Ayrıca, bir kullanıcı hesabının veya hizmet hesabının tüm istemcilerde sahip olabileceği toplam yenileme belirteci sayısı için daha büyük bir sınır vardır. Çoğu normal kullanıcı bu sınırı aşmaz, ancak bir geliştiricinin test hesabı olabilir.
Biraz daha araştırma yaptım ve görünüşe göre Google erişim jetonu, ilk "çevrimdışı" istek sırasında bir yenileme belirtecini almak için kullanılıyor. Bu noktadan itibaren, yenileme belirteci yeni bir erişim belirteci vermek için kullanılır. Buradaki fikir, erişim jetonunun kısa vadeli bir jeton olmasıdır, ancak uzun vadeli bir yenileme jetonu ile yenilenebilir. Bu, iki uç nokta yaklaşımı gerektiren ve yönlendirici tabanlı bir istek kullanılarak başlatılması gereken URL 'kod' değişkenini talep etme ihtiyacını ortadan kaldırır:
http://www.jensbits.com/2012/01/09/google-api-offline-access-using-oauth-2-0-refresh-token/
Dropbox gibi bazıları REST API hizmetleri sonsuza kadar süren erişim belirteçleri yayınlar, ancak Google kısa vadeli erişim belirteçleri verir. PayPal, erişim belirteçlerinin URI yönlendirme zorunluluğu olmadan alınmasına izin veren bir uzlaşma kullanır. Bu, işlemi başlatmak için bir bağlantıya tıklamak zorunda kalmadan erişim belirteçlerinin alınabileceği anlamına gelir. Google'ın metodolojisi, API rutinlerinin yalnızca ihtiyaç temelinde çağrılması gerektiği anlamına gelir. Esasen, çağrılar yönlendiren tabanlı prosedürler aracılığıyla başlatılır. Bu, kısa ömürlü erişim belirteçleri veya bir zincirde yenilenmesi gereken erişim belirteçleri yayınlayarak kontrol edilir. Bu, geliştiricilerin bir sistemin nasıl akması gerektiği konusunda daha dikkatli düşünmelerini gerektirir.