Jetons d'accès et de rafraîchissement

Question

J'utilise l'api rest de Caspio pour authentifier mes utilisateurs dans une application mobile. Lors de l'authentification, j'ai reçu un jeton d'accès que j'ai inclus dans mon appel AJAX sous le paramètre 'Authorization' : Bearer [jeton d'accès].

Je comprends que je peux renouveler le jeton avec le jeton de rafraîchissement qui m'a été donné où je peux utiliser l'appel POST.

Ma question est la suivante : avant d'utiliser l'appel POST pour un nouveau jeton, dois-je stocker le jeton d'accès ?

De même, le site web de Caspio conseille ce format pour l'appel POST :

Method: POST
URL:    Token Endpoint
Body:   grant_type=refresh_token&refresh_token= [token value]
Header parameters:
Authorization: Basic [string "Client_ID:Client_Secret" encoded in Base64]
Content-Type: application/x-www-form-urlencoded

Dois-je également inclure l'ID et le secret du client dans les paramètres ? En utilisant le client de repos de Firefox, j'obtiens une erreur de mauvaise requête (400).

Merci pour votre aide !

Answer 1

Je n'ai jamais utilisé le rest api de caspio auparavant. La réponse est basée sur mes expériences avec OAuth.

Ma question est la suivante : avant d'utiliser l'appel POST pour un nouveau jeton, dois-je stocker le jeton d'accès ?

OUI ! L'OAuth 2.0 utilise le jeton d'accès pour changer le jeton de rafraîchissement à la première fois.

Dois-je également inclure l'ID et le secret du client dans les paramètres ? En utilisant le client de repos de Firefox, j'obtiens une erreur de mauvaise requête (400).

Selon le document api . Vous devez inclure l'identifiant et le secret du client dans votre demande, comme le font la plupart des utilisateurs de OAuth 2.0.

L'erreur de mauvaise requête (400) que vous pouvez voir est la suivante rfc6749 pour trouver de plus amples informations.