OAuth2 et API de Google: jeton d'Accès de l'expiration du temps?

Nous avons une application Java autonome (voir la section "Installé l'application': https://developers.google.com/accounts/docs/OAuth2) qui s'exécute périodiquement et utilise l'API de google (les mises à jour des informations provenant de bases de données clients/ldap/...).

À l'accès Api Google nous stockons nom d'utilisateur et le mot de passe dans le fichier de configuration, ce qui est un risque pour la sécurité et la clientèle n'est pas comme ça. Donc, nous aimerions utiliser OAuth2 longue durée de vie jeton d'accès au lieu.

ce délai d'expiration par défaut de Google OAuth2 jetons d'accès ?

Que nous aurons seul jeton d'accès de l'application, l'application elle-même ne peut pas actualiser quand jeton d'accès expire...

Personnellement, je pense que OAuth2 mise en œuvre, dans ce cas, ne pas apporter de grands avantages, mais concentrons-nous sur la question principale - par défaut des dates d'expiration.

InformationsquelleAutor Martin V. | 2012-12-13
  1. 94

    Vous ne devriez pas la conception de votre application en fonction des durées de vie de jetons d'accès. Supposons qu'ils sont (très) courte durée.

    Cependant, après l'achèvement de la OAuth2 installé une application, vous obtiendrez un jeton d'actualisation. Cette actualisation jeton n'expire jamais, et vous pouvez l'utiliser pour l'échanger contre un jeton d'accès que nécessaire. Économiser de l'actualisation des jetons, et les utiliser pour obtenir des jetons d'accès à la demande (qui doit alors être immédiatement utilisé pour obtenir l'accès aux données de l'utilisateur).

    EDIT: Mes commentaires ci-dessus, nonobstant, il y a deux façons d'obtenir le jeton d'accès le temps d'expiration:

    1. C'est un paramètre de la réponse (expires_in)lors de l'échange de votre jeton d'actualisation (à l'aide de /o/oauth2/jeton de point de terminaison). Plus de détails.

    2. Il y a aussi une API qui renvoie la durée de vie restante de l'access_token:

      https://www.googleapis.com/oauth2/v1/tokeninfo?access_token={accessToken}

      Cela renvoie un tableau json qui contient un expires_in paramètre, qui est le nombre de secondes à gauche dans la durée de vie du jeton.

    • J'ai DONC besoin de secrets du client que pour le premier de l'autorisation, puis plus tard, après que j'aurai accès et d'actualisation de jeton d'application peut avoir accès
    • Eh bien, il ya plusieurs étapes à suivre. D'abord obtenir le code d'autorisation, puis change le code d'autorisation pour un jeton d'actualisation (voici un endroit où vous utilisez le client secret). Une fois que vous avez le jeton d'actualisation, vous pouvez l'échanger pour un jeton d'accès. L'INTERFACE web sera affiché à l'utilisateur que lors de l'obtention de l'actualisation jeton (vous devez obtenir l'autorisation de l'utilisateur d'accéder à leurs données). Après que le flux n'a pas besoin d'impliquer l'utilisateur.
    • Est-il possible de faire de l'autorisation et de l'approbation de l'étape purement par programmation ? Je ne suis pas en cours d'exécution toute webapp - c'est plus de lot/long "daemon" app.
    • oui, vous pouvez contourner l'INTERFACE utilisateur avec le OAuth2 les Comptes de Service flux, en supposant que votre application a accès à l'API. Voir this pour un exemple w/ l'API de Google Analytics.
    • vlatko, vous n'avez pas nécessaire d'obtenir un jeton d'actualisation lors de la réussite d'autorisation. Regardez ici, à mon post (stackoverflow.com/questions/27678496/...), Google OAuth2 service n'est pas question d'un jeton d'actualisation, du moins c'est ce que je vois le débogage de l'application.
    • Vous devez définir accessType à "hors ligne" pour obtenir un jeton d'actualisation
    • Que faites-vous avec OAuth mobile flux? Vous n'avez pas de refresh_token dans les applications mobiles auth, parce que vous ne pouvez pas avoir un code secret (tout le monde pouvait le décompiler l'application et de le voir). Ce qui se passe lorsque le jeton devient périmé?
    • ce n'très courte durée veux dire?
    • Maintenant, Google jetons d'accès ont un TTL de 1 heure.

    InformationsquelleAutor vlatko
  2. 3

    La valeur par défaut expiry_date pour google oauth2 jeton d'accès est de 1 heure. Le expiry_date est dans l'époque Unix temps en millisecondes. Si vous voulez lire cette en format lisible par l'homme, alors vous pouvez simplement vérifier ici..Le timestamp Unix de l'homme lisible temps

    InformationsquelleAutor Rajkumar Bansal
  3. 0

    Ici est encore une autre observation à la Google jeton d'accès d'expiration de la question. J'ai un serveur qui rend l'utilisation de Google Oauth2, et il utilise le point de terminaison https://www.googleapis.com/oauth2/v3/userinfo?access_token=YOUR_ACCESS_TOKEN de faire un premier niveau d'authentification. Ce que j'ai trouvé est utilisé de cette façon, le jeton d'accès a une beaucoup plus longue durée de vie de 60 minutes. Je ne suis pas certain qu'il n'expirent lorsque seulement utilisé de cette façon.

    Quelqu'un a vu de la documentation de l'expiration de la durée de jetons d'accès utilisé uniquement de cette façon?

    InformationsquelleAutor Chris Prince