Comment identifier si le jeton OAuth a expiré?

Mon iOS l'application mobile consomme des services qui sont mis en œuvre avec la OAuth2.0 protocole. Le jeton d'accès OAuth vient avec un jeton d'actualisation et d'une expires_in champ. J'ai sauvé le jeton d'actualisation et le jeton d'accès de l'expiration du temps dans mon application, mais n'ont pas une bonne idée sur la manière de les utiliser.

  • Donc, qu'est-ce que l'habitude et les meilleures pratiques de l'utilisation de ce expires_in?
  • Comment puis-je identifier que mon jeton d'accès est expiré?
  • Commun de service web format d'erreur qui me dit que mon jeton d'accès est expiré?
InformationsquelleAutor XiOS | 2015-06-14
  1. 59

    Voici des informations sur le protocole OAuth 2.0 jeton d'actualisation.

    Expire Dans La Définition

    OAuth 2.0 de la norme, RFC 6749, définit la expires_in champ comme le nombre de secondes d'expiration:

    expires_in: RECOMMANDÉ. La durée de vie en secondes du jeton d'accès. Par exemple, la valeur "3600" indique que le jeton d'accès expirera en une heure à partir du moment où la réponse a été générée. Si omis, le serveur d'autorisation DOIT fournir à l'expiration du temps par d'autres moyens ou le document, la valeur par défaut.

    Jeton D'Actualisation De Gestion: Méthode 1

    Lors de la réception valide access_token, expires_in valeur, refresh_token, etc., les clients peuvent traiter cela par le fait de garder un temps d'expiration et le vérifier sur chaque demande. Cela peut être fait en utilisant les étapes suivantes:

    1. convertir expires_in à une heure d'expiration (époque, RFC 3339/ISO-8601 datetime, etc.)
    2. stocker la date d'expiration
    3. sur chaque demande de ressource, vérifier l'heure actuelle contre l'heure d'expiration et de faire un jeton d'actualisation de la demande avant que la demande de ressource si le access_token a expiré

    Un exemple de mise en œuvre est la oauth2 bibliothèque qui convertit convertit le expires_in de la valeur à un RFC 3339 date-heure dans le Jeton expiration de la propriété. expiry n'est pas défini par le protocole OAuth 2.0 de la norme, mais elle est utile ici.

    Lors de la vérification du temps, être sûr que vous êtes le même temps, par exemple, en utilisant le même fuseau horaire par la conversion de tous les temps à l'époque ou le fuseau horaire UTC.

    En plus de recevoir une nouvelle access_token, vous pouvez recevoir un nouveau refresh_token avec un temps d'expiration dans l'avenir. Si vous recevez ce, vous devez stocker le nouveau refresh_token pour prolonger la vie de votre session.

    Jeton D'Actualisation De Gestion: Méthode 2

    Une autre méthode de manipulation du jeton d'actualisation est de rafraîchir manuellement après la réception d'une défaillance de jeton d'erreur. Cela peut être fait avec l'approche précédente ou par lui-même.

    Si vous tentez d'utiliser l'expiration d'un access_token et vous obtenez une défaillance de jeton d'erreur, vous devez effectuer un jeton d'actualisation (si votre jeton d'actualisation est toujours valable). Depuis, différents services peuvent utiliser différents codes d'erreur de la date de péremption des jetons, vous pouvez soit suivre le code pour chaque service ou d'un moyen facile pour actualiser les jetons dans l'ensemble des services est de simplement essayer une simple actualisation, lorsqu'il rencontre une erreur 4xx.

    Invalide Jeton D'Accès Erreurs

    Ci-dessous sont quelques-uns des codes d'erreur à partir des principaux services:

    1. Facebook: Erreur 467 Invalide jeton d'accès - Jeton d'accès a expiré, révoqué, ou est invalide, - Gérer expiré jetons d'accès.
    2. LinkedIn: Erreur 401 Non Autorisé.
    3. PayPal: Erreur 401 Non Autorisé.

    Actualiser Jeton D'Expiration

    Si votre refresh_token a également expiré, vous aurez besoin de passer par le processus d'autorisation de nouveau.

    La OAuth 2.0 spec ne définit pas de rafraîchissement de jeton à l'expiration ou à la façon de le gérer, cependant, un certain nombre d'Api sera de retour d'une refresh_token_expires_in propriété lorsque l'actualisation jeton arrive à expiration. Les différentes Api va gérer l'actualisation jeton d'expiration différemment, il est donc important de passer en revue la documentation par l'API, mais en général, vous pouvez recevoir un nouveau jeton d'actualisation lorsque vous actualisez votre jeton d'accès. L'Expiration doit être gérées d'une façon similaire, comme la conversion de refresh_token_expires_in à un RFC 3339 date-heure refresh_token_expiry valeur.

    Quelques exemples LinkedIn, eBay, et RingCentral. Dans l'API LinkedIn, lorsque vous actualisez les jetons d'accès, vous recevrez un jeton d'actualisation décroissant refresh_token_expires_in bien cibler l'origine d'actualisation jeton heure d'expiration jusqu'à ce que vous sont nécessaires pour auth de nouveau. Le RingCentral API sera de retour l'actualisation des jetons avec un temps statique de sorte que l'utilisateur n'a pas à auth si le nouveau jeton d'actualisation et d'actualisation jeton mises à jour sont faites régulièrement.

    • Salut, un grand merci pour votre réponse! Lors de la vérification de la date d'expiration, si l'utilisateur modifie le temps de périphérique? Ça va pas conduire à l'actualisation de l'jeton d'accès trop souvent? Et à l'égard de la vérification de la non valide jeton d'erreur, avez-vous une idée sur le code de réponse et l'erreur de format que oAuth serveur sera de retour? Et cela sera d'erreur de réponse en être de même pour tous les serveurs d'authentification oAuth?
    • Quels sont certains des cas d'utilisation pour souvent se produisent appareil changements de temps? Fuseau horaire changements doivent être traitées automatiquement. Depuis invalid token code d'erreur n'est pas définie dans la norme, les différents services ont choisi les différents codes d'erreur maintenant énumérés ci-dessus. Une simple actualisation de l'approche peut-être essayer un simple rafraîchissement sur une erreur 4xx comme mentionné.
    • Spotify renvoie un 401 non autorisé
    • La fin de la partie, mais comment savez-vous si le refresh_token n'est pas valide? :O
    • IETF RFC 6749 ne pas définir d'actualisation de jeton à l'expiration ou à la façon de le gérer, mais un certain nombre d'Api de mettre en œuvre un refresh_token_expires_in bien et j'ai mis à jour la réponse à cette info.
    • J'ai du mal à gérer les Accès non Valide Jeton d'Erreurs parce que si vous exécutez async plusieurs appels, alors qu'il pourrait être difficile pour les tentatives de tous échoué. Vous obtiendrez expiré erreur bien que vous avez actualisé.

    InformationsquelleAutor Grokify
  2. 0

    Serait recommandé d'utiliser la Méthode 2 ci-dessus depuis un 401 peut se produire pour plusieurs raisons telles que le renouvellement d'un certificat de signature de jeton ou d'une horloge différences:

    • Vérifier 401 après chaque demande d'API
    • Obtenir un nouveau jeton - une fois seulement
    • Réessayer la demande d'API - une fois seulement

    J'ai mis en place beaucoup de succès OAuth clients et ont toujours utilisé cette technique et d'éviter jamais de lire le expires_in champ de mon côté client code

    InformationsquelleAutor Gary Archer