刷新客户端凭证流的访问令牌答案

【问题标题】：Refreshing an Access Token for Client Credentials Flow刷新客户端凭证流的访问令牌
【发布时间】：2019-01-08 11:10:29
【问题描述】：

我想知道刷新通过OAuth 2.0 中的客户端凭据流获得的访问令牌的最佳方法是什么。我已经阅读了规范，但我似乎无法为我的特殊情况找到答案。

对于我的具体情况，我正在为我的 Android 应用程序使用 Spotify Web API 来搜索内容（曲目、专辑和/或艺术家）。为了执行搜索，我需要一个访问令牌。由于我对 Spotify 用户的数据不感兴趣，我可以使用客户端凭据流来获取访问令牌，这在 Spotify 的术语here 中进行了解释。

因为访问令牌最终会过期，所以我必须想办法在过期后刷新它。我最终想知道的是我的方法是否有效，以及我的处理方式是否存在任何问题。

首先，我将访问令牌存储在 SharedPreferences 中。在onCreate() 中，我有以下内容：

@Override
protected void onCreate(Bundle savedInstanceState) {
    // A bunch of other stuff, views being initialized, etc.


    mAccessToken = getAccessToken();

    // If the access token is expired, then we will attempt to retrieve a new one
    if (accessTokenExpired()) {
        retrieveAccessToken();
    }
}

我已将accessTokenExpired() 和retrieveAccessToken() 定义如下：

private boolean accessTokenExpired() {
    // If mAccessToken hasn't yet been initialized, that means that we need to try to retrieve
    // an access token. In this case, we will return true;
    if (mAccessToken == null) {
        return true;
    }

    SharedPreferences preferences = getPreferences(Context.MODE_PRIVATE);
    long timeSaved = preferences.getLong(PREFERENCES_KEY_TOKEN_RESPONSE_TIME_SAVED, 0L);
    long expiration = preferences.getLong(PREFERENCES_KEY_TOKEN_RESPONSE_EXPIRATION, 0L);
    long now = System.currentTimeMillis()/1000;
    long timePassed = Math.abs(now - timeSaved);

    if (timePassed >= expiration) {
        return true;
    } else {
        return false;
    }
}

关于retrieveAccessToken() 值得注意的一点是我使用Retrofit 进行HTTP 请求：

private void retrieveAccessToken() {

    // First, we obtain an instance of SearchClient through our ClientGenerator class
    mClient = ClientGenerator.createClient(SearchClient.class);

    // We then obtain the client ID and client secret encoded in Base64.
    String encodedString = encodeClientIDAndSecret();

    // Finally, we initiate the HTTP request and hope to get the access token as a response
    Call<TokenResponse> tokenResponseCall = mClient.getAccessToken(encodedString, "client_credentials");
    tokenResponseCall.enqueue(new Callback<TokenResponse>() {
        @Override
        public void onResponse(Call<TokenResponse> call, Response<TokenResponse> response) {
            Log.d(TAG, "on Response: response toString(): " + response.toString());
            TokenResponse tokenResponse = null;
            if (response.isSuccessful()) {
                tokenResponse = response.body();
                Log.d(TAG, tokenResponse.toString());
                mAccessToken = tokenResponse.getAccessToken();
                saveAccessToken(tokenResponse);
            }
        }

        @Override
        public void onFailure(Call<TokenResponse> call, Throwable t) {
            Log.d(TAG, "onFailure: request toString():" + call.request().toString());
            mAccessToken = "";
        }
    });
}

最后，saveAccessToken(tokenResponse) 是accessTokenExpired() 的补充，我将令牌响应中的值保存到SharedPreferences，而不是检索它们。

对我的做法有任何顾虑吗？我从this SO post 那里得到了这个想法并稍微修改了它。 Spotify 不会在其访问令牌响应中提供刷新令牌。因此，我不能在这里使用它来减少我发出的访问令牌请求的数量。

对此的任何意见将不胜感激！

【问题讨论】：

标签： java android oauth oauth-2.0 spotify

【解决方案1】：

两个考虑是：

您可能希望对使用访问令牌发出的请求进行一些错误处理，该访问令牌可以处理令牌到期并进行重试。这将有帮助的两种情况是
1. 当令牌在检查它是否有效和您使用它之间过期时
2. 在check the token is valid -> make some requests with the token -> repeat 的循环中，您使用令牌花费了一个多小时。另一种方法是计算now + expected_api_request_time > token_expiration_time，其中expected_api_request_time 将是您设置的常数，但我认为将令牌到期作为例外处理是更好的做法（您可能希望能够在网络的情况下进行重试）不稳定）。
当您从本地存储中检索timeSaved 和expiration 时，您可以执行计算以计算令牌何时到期，或者只计算令牌最初到期的时间并保存。这相对较小，我认为这和你的做法都很好。

【讨论】：