# 获取 Token
# Token 机制
开放平台采用 Auth2.0 授权流程获取 Token,且获取的每个 Access Token 和 Refresh Token 都具有时效性,开发者需要重视其保存及时效性的检查, 保障应用的正常使用。
# 获取 Access_Token
为了安全考虑,开发者请勿将 Access Token 返回给前端,需要开发者保存在后台,所有访问 api 的请求由后台发起
获取 Access Token 是调用API接口的第一步,相当于创建了一个登录凭证,其它的业务 API 接口,都需要依赖于 Access Token 来鉴权调用者身份。 因此开发者,在使用业务接口前,要明确 Access Token 的颁发来源,使用正确的 Access Token。
CJ-Access-Token: 获取 CJ-Access-Token
# Token的保存与检查
# Access Token
访问令牌(Access Token)是安全性的一个概念,当用户使用 API 前,需要创建一个访问令牌,里面包含登录信息。客户端访问资源服务器时需要带上的令牌。 一般 Access Token 的有效期是 7天。
# Refresh Token
Refresh Token 的作用是刷新 Access Token。认证服务器会提供一个刷新接口,我们传入 Refresh Token,认证服务器通过后会返回一个新的 Access Token。 一般 Access Token 的有效期是 180 天。
建议用户开发时增加定期检查Token的有效性的逻辑处理: 使用 Token 前定期对保存的每个 Token 进行到期日的校验,如果校验结果 Access Token 已到失效日期,则需使用 Refresh Token 进行Token的刷新。
# Token的刷新
如果检查到 Access Token 即将过期,应用可以采用 Refresh Token 刷新获取新的 Access Token 和新的 Refresh Token,然后继续按照Token的保存方法将新 获取的保存。Token 的刷新建议使用延迟队列的形式进行。
# 重新授权
如果检查到 Access Token 和 Refresh Token 都已过期失效,则只能通过用户的重新授权再次获取有效的新 Token。