oauth博士说
Each access_token is valid for 1 hour and each refresh token is valid for 14 days. To use the refresh_token to get a new access_token, make a POST request to https://api.box.com/oauth2/token
In this response, you’ll receive both a new access_token and refresh_token. The refresh_token you used to make this request is no longer valid.
问题:1)如果偶然我无法存储这个新的refresh_token,那么旧的refresh_token会失效吗?
2)不能有总是有效的刷新令牌而我们只生成access_token吗?
2 回答
1)是的,当创建新的refresh_token时,前一个刷新无效 .
2)部分OAuth 2规范包括使旧的refresh_tokens无效以换取新的刷新 . 这不是最令人抓狂的读物,但你可以在这里看到所有这些:http://tools.ietf.org/html/draft-ietf-oauth-v2-31
实际上,我们只是更改了这一点,以便在您使用新的访问令牌之前我们不会删除旧的刷新令牌 .