OAuth2 et API de Google: jeton d'Accès de l'expiration du temps?
Nous avons une application Java autonome (voir la section "Installé l'application': https://developers.google.com/accounts/docs/OAuth2) qui s'exécute périodiquement et utilise l'API de google (les mises à jour des informations provenant de bases de données clients/ldap/...).
À l'accès Api Google nous stockons nom d'utilisateur et le mot de passe dans le fichier de configuration, ce qui est un risque pour la sécurité et la clientèle n'est pas comme ça. Donc, nous aimerions utiliser OAuth2 longue durée de vie jeton d'accès au lieu.
ce délai d'expiration par défaut de Google OAuth2 jetons d'accès ?
Que nous aurons seul jeton d'accès de l'application, l'application elle-même ne peut pas actualiser quand jeton d'accès expire...
Personnellement, je pense que OAuth2 mise en œuvre, dans ce cas, ne pas apporter de grands avantages, mais concentrons-nous sur la question principale - par défaut des dates d'expiration.
Vous devez vous connecter pour publier un commentaire.
Vous ne devriez pas la conception de votre application en fonction des durées de vie de jetons d'accès. Supposons qu'ils sont (très) courte durée.
Cependant, après l'achèvement de la OAuth2 installé une application, vous obtiendrez un jeton d'actualisation. Cette actualisation jeton n'expire jamais, et vous pouvez l'utiliser pour l'échanger contre un jeton d'accès que nécessaire. Économiser de l'actualisation des jetons, et les utiliser pour obtenir des jetons d'accès à la demande (qui doit alors être immédiatement utilisé pour obtenir l'accès aux données de l'utilisateur).
EDIT: Mes commentaires ci-dessus, nonobstant, il y a deux façons d'obtenir le jeton d'accès le temps d'expiration:
expires_in
)lors de l'échange de votre jeton d'actualisation (à l'aide de /o/oauth2/jeton de point de terminaison). Plus de détails.Il y a aussi une API qui renvoie la durée de vie restante de l'access_token:
https://www.googleapis.com/oauth2/v1/tokeninfo?access_token={accessToken}
Cela renvoie un tableau json qui contient un
expires_in
paramètre, qui est le nombre de secondes à gauche dans la durée de vie du jeton.La valeur par défaut expiry_date pour google oauth2 jeton d'accès est de 1 heure. Le expiry_date est dans l'époque Unix temps en millisecondes. Si vous voulez lire cette en format lisible par l'homme, alors vous pouvez simplement vérifier ici..Le timestamp Unix de l'homme lisible temps
Ici est encore une autre observation à la Google jeton d'accès d'expiration de la question. J'ai un serveur qui rend l'utilisation de Google Oauth2, et il utilise le point de terminaison
https://www.googleapis.com/oauth2/v3/userinfo?access_token=YOUR_ACCESS_TOKEN
de faire un premier niveau d'authentification. Ce que j'ai trouvé est utilisé de cette façon, le jeton d'accès a une beaucoup plus longue durée de vie de 60 minutes. Je ne suis pas certain qu'il n'expirent lorsque seulement utilisé de cette façon.Quelqu'un a vu de la documentation de l'expiration de la durée de jetons d'accès utilisé uniquement de cette façon?