OAuth 2.0 协议里,刷新令牌用于在当前访问令牌到期时获取新的访问令牌。 有关更多信息,请参阅 OAuth 2.0 RFC。
以 LinkedIn 提供的 API 为例。
LinkedIn 提供在固定时间段内有效的程序化刷新令牌。 默认情况下,访问令牌的有效期为 60 天,程序化刷新令牌的有效期为一年。 当刷新令牌过期时,成员必须重新授权您的应用程序。
当您使用刷新令牌生成新的访问令牌时,刷新令牌的生命周期或生存时间 (TTL) 与初始 OAuth 流中指定的相同(365 天),并且新的访问令牌具有新的 TTL 60 天。
例如,在:
第 1 天 - 您的刷新令牌的 TTL 为 365 天,您的访问令牌的 TTL 为 60 天。
第 59 天 - 如果您使用刷新令牌生成新的访问令牌,则访问令牌的 TTL 为 60 天,刷新令牌的 TTL 为 306 天 (365-59=306)。
第 360 天 - 如果您生成新的访问令牌,您的访问令牌和刷新令牌都将在 5 天后过期 (365-360=5),您必须使用授权流程让成员重新授权您的应用程序。
and to clarify: if your access token expired, and it was refreshed using the refresh token --> that doesn’t make the refresh token duration reset. The refresh token’s timeout will continue to tick from the moment you first logged in.
刷新令牌可用于创建新的访问令牌并允许长时间无缝操作。
但是,由于技术或政策原因,领英保留随时撤销刷新令牌或访问令牌的权利。在这种情况下,利用刷新令牌的产品的期望是回退到标准 OAuth 流程,并将登录屏幕呈现给最终用户。
获取刷新令牌
使用授权代码流获取刷新令牌和访问令牌。 如果您的应用程序获得了编程刷新令牌的授权,则在您为访问令牌交换授权代码时将返回以下字段:
refresh_token — 应用程序的刷新令牌。 此令牌必须保持安全。
refresh_token_expires_in — 刷新令牌到期前剩余的秒数。 刷新令牌通常比访问令牌具有更长的生命周期。
