Token 介紹

API 傳遞Token通常有幾種方式:

  • HTTP Header
GET /drive/v2/files HTTP/1.1
Authorization: Bearer <token>
Host: www.googleapis.com/
  • URL query string parameter
GET https://www.googleapis.com/drive/v2/files?token=<token>

上述傳遞的token,我們通常稱為:Access token,有效期、過期後就需要重新取得新的Token才能繼續動作。

通常在使用者第一次輸入帳密登錄成功後,除了Access token外,還會有一個 Refresh token,用來在Acces token過期後,快速重新取得新Token使用,若Refresh token也過期的話,就必須要重新進行身分認證。

為什麼我們需要 refresh token?

主要是為了職責的分離:refresh token 負責身份認證(Auth server),access token 負責請求資源(Resource Server)。雖然 refresh token 和 access token 都由 IdP 發出,但是 access token 還要和 SP 進行資料交換,如果公用的話這樣就會有身份洩露的可能。

使用這登錄的過程,當中使用的通訊協定,常常會使用OAuth通訊協定來進行。

參考資料