Я интегрирую SugarCRM в наш продукт.У меня небольшая проблема с начальными шагами аутентификации.Когда я аутентифицируюсь, используя имя пользователя и пароль (предоставление пароля), я получаю ответ, который выглядит примерно так:
{
"access_token": "de236c59-...",
"expires_in": 14400,
"token_type": "bearer",
"scope": null,
"refresh_token": "58113dbf-...",
"refresh_expires_in": 14399,
"download_token": "411000d2-..."
}
Теперь, каждый раз, когда я обновляю токен, я получаю новый токен доступа и новое обновлениемаркер.Новый токен доступа имеет срок действия 14400, но новый токен обновления сохраняет то же время истечения срока действия, что и предыдущий, и мне приходится каждые четыре часа снова использовать имя пользователя и пароль для получения нового токена обновления и доступа.
Я надеялся получить имя пользователя и пароль от пользователя и не сохранять его вообще, а вместо этого просто использовать токен обновления до его отзыва (аналогично потоку кода авторизации).Разве это предоставление пароля не нарушает цель OAuth2, заключающуюся в том, что нам не нужно показывать наш пароль третьей стороне?
Есть ли смысл использовать этот токен обновления, если его срок действия меньшечем токен доступа здесь?