Когда я использую поток авторизации Spotify, после получения кода я отправляю его на свой сервер, чтобы получить токен доступа и обновить токен sh. Теперь пользователь настроен, но по истечении срока действия токена я не могу просто обновить sh его со стороны клиента, используя токен refre sh. Обновление требует, чтобы вы предоставили заголовок авторизации с идентификатором клиента и секретом клиента, которые, согласно документации Spotify API, не должны существовать в вашем приложении, а должны находиться на собственном сервере.
Этот поток подходит для долго работающих приложений, в которых пользователь дает разрешение только один раз. Он предоставляет токен доступа, который можно обновить. Поскольку обмен токенами включает в себя отправку вашего секретного ключа, выполняйте это в безопасном месте, например, в серверной службе, и не из клиента, такого как браузер, или из мобильного приложения .
Я понимаю, что вы хотите, чтобы авторизация выполнялась через сервер, но почему обновление также должно выполняться через мой собственный сервер? Такое поведение вынуждает меня использовать все функции, связанные с авторизацией Spotify, через мой сервер, что довольно непрактично. Единственное, что я могу себе представить, - это отправить секрет клиента в приложение (чтобы его не было в исходном коде), сохранить его в зашифрованных общих настройках (мое приложение - приложение Android) и использовать его, когда мне нужно. Таким образом, пользователь не сможет получить секрет клиента (зашифрованный), и приложение продолжит работать без сервера.
Кто-нибудь знает решение или лучшее решение?