我正在开发一个只使用一个Spotify帐户的应用程序,我不太了解刷新令牌(使用oauth2)。理想情况下,我想只使用Spotify API控制台接收访问令牌并刷新令牌,我可以永久使用,而不必在应用程序运行时再次担心授权。如果我有一个刷新令牌,我可以永远使用该刷新令牌,还是每当我想访问API时,是否需要不断地使用该刷新令牌获取新令牌?
答案 0 :(得分:1)
TLDR:您不需要为每个呼叫刷新访问密钥,但是如果访问密钥到期,则必须刷新访问密钥。
刷新令牌是OAuth2流程的一部分。访问密钥是短暂的并且到期,而刷新令牌是长期存在的。您可以将刷新令牌与您的客户端密钥一起使用,以在访问令牌过期时获取新的访问令牌。这是一项安全措施。如果您的访问令牌泄露,它只是短暂的,没有刷新令牌和客户端密钥。如果您的刷新令牌泄露,您可以将其列入黑名单。
如果您不访问私人数据,则会有一些例外情况。 Spotify authorization guide有一个客户端凭据流程,不需要刷新,但也可以访问它可以访问的数据类型。