我刚刚将我们的 Box 代码升级到 OAuth2。
我们已经实现了允许用户在我们的网络服务器和他们的 Box(以及 SkyDrive、Dropbox、Google Drive)帐户之间传输文件的代码。用户的访问和刷新 token 存储在我们的数据库服务器中。
根据 http://developers.box.com/oauth/ , 它说
每个刷新 token 的有效期为 60 天
SkyDrive 和 Drive 都使用 OAuth2,并且没有刷新 token 到期。
是否可以拥有不过期的刷新 token ?
某些应用程序可能不需要刷新 token ,因此您会考虑引入新的 OAuth2 范围,例如
最佳答案
据我了解,Box OAuth2 实现使用可选的刷新 token 轮换方案,每次发布访问 token 时,也会发布新的刷新 token 。参见 oauth spec document 的第 10.4 节.这是一项可选功能,Google 和 Microsoft 不使用该功能,因为它们为 OAuth2 实现发布永久刷新 token (或至少具有足够长的生命周期的刷新 token ,因此它不是真正的问题)。
以我的拙见,这是 Box 的一个非常不幸的选择。
您在应用程序中必须做的是,每次请求新的访问 token 时,您还必须保存返回的新刷新 token ,以便下次请求访问 token 时使用新的刷新 token 。这样,您最终会得到过期刷新 token 的唯一情况是,如果用户在 60 天内没有使用他们的 Box 登录名。只要他们积极使用该应用程序,您就会获得新的刷新 token ,并且 60 天的生命周期不是问题。到目前为止一切顺利,但它并不总是这样工作,现在是吗?
我的问题是,您必须在每个请求上保存刷新 token ,但是如果由于某种原因失败怎么办:网络中断,电池电量不足,磁盘写入异常,您的应用程序被关闭操作系统......然后你将不得不请求用户再次登录,用户会责怪应用程序开发人员。
如果您有足够多的用户使用您的应用程序,这将会发生。随着时间的推移,可能只有 2-5%,但在我看来,这仍然是一个大问题。
至少如果刷新 token 是(半)永久性的,您可以重试身份验证过程,直到它完成。然后你知道你已经保存了 token ,你可以继续使用它,也可以用于重试,当上述情况发生时,但轮换方案不是这样。
我已经在考虑为遇到此问题的用户制作标准支持电子邮件,并链接到此问题。
关于box-api - OAuth2 刷新 token 仅在 14 天内有效,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14170857/