我們可以長時間使用refreshToken嗎？

Question

我使用oAuth與Google AnalyticsAPI進行交互。這是我第一次獲得authCode和refreshToken。我可以使用refreshToken作爲永久的嗎？因爲我必須致電Google Analytics API來獲取分析數據並以不同格式在應用程序中顯示它。

誰能告訴我什麼是refreshToken的生活時間？它是永久的還是有效的幾天？我已經做了一些R & D。我可以找到它在14天/ 60天有效的地方。還有一個地方我發現它是永久的。我很困惑。

幫助將不勝感激，謝謝！

Answer 1

refreshToken不是永久的，但可以無限期地持續，如果不撤銷。它可以通過幾種方式取消：

1. 從Google帳戶安全頁面，用戶可以手動撤銷對該應用的權限。

2. 如果用戶更改密碼並且作用域包含郵件作用域，Google會自動撤銷刷新令牌。這在2015年12月是新的，谷歌最近改變了規則，只發生郵件範圍，並沒有對市場上的應用程序做到這一點，Google Apps腳本的應用程序，請參見https://gsuiteupdates.googleblog.com/2016/09/update-increased-account-security-via.html

谷歌的指引顯示如何處理被撤銷令牌場景。