Estoy implementando una autenticación de oAuth2 para asegurar mi API REST.
Como estoy implementando oAuth2, necesito generar un access_token que me dará un acceso temporal a mis datos REST.
Para hacerlo, simplemente envío una solicitud HTTP con un id y un secret , que devuelve un access_token y un refresh_token . Esa es la primera vez que estoy implementando un oAuth2, e hice algunas investigaciones sobre qué son access_token y refresh_token .
Parece que todo el mundo dice que refresh_token debe almacenarse de forma segura , porque le permite regenerar un access_token . Por lo que entendí, los tokens de actualización son de larga duración, mientras que el token de acceso caduca rápidamente, y no necesita tanta seguridad como el token de actualización, porque caduca rápidamente. Puedo usar ese refresh_token para obtener un nuevo access_token , usando el mismo id y el mismo secret que uso para generar mi primer access_token .
Mis preguntas son :
- ¿Por qué usamos tokens de actualización si necesitan mucha seguridad, mientras que podríamos simplemente generar un acceso cada vez que caduque?
- ¿Realmente solo se trata de verificar más rápidamente la identidad de la persona que envía la solicitud?
Pido disculpas si no pregunto en el sitio de StackExchange correcto.