Chuyển tới nội dung chính

Cơ chế hết hạn của User Refresh Token

Giới thiệu

User Refresh Token là thông tin cần để lấy User Access Token mới trong trường hợp User Access Token đã hết hạn.

User Refresh Token sẽ có thời gian hiệu lực tối đa là 30 ngày (tức 720 giờ) và Refresh Token mới sẽ kế thừa thời gian hiệu lực của Refresh Token dùng để tạo ra nó. Trong trường hợp Refresh Token hết hạn, bạn phải thực hiện lại bước yêu cầu user cấp quyền cho Ứng dụng

Khi bạn dùng 1 Refresh Token để lấy 1 bộ Token mới, thời gian hiệu lực của Access Token vẫn là 1 giờ, nhưng thời gian hiệu lực của Refresh Token sẽ là thời gian hiệu lực còn lại của Refresh Token truyền vào. VD:

  • Tại thời điểm 0 giờ: OAuth Code được dùng để lấy Access Token 1 (hiệu lực: 1 giờ) và Refresh Token 1 (hiệu lực: 720 giờ)
  • Tại thời điểm 1 giờ: Refresh Token 1 được dùng để lấy Access Token 2 (hiệu lực: 1 giờ) và Refresh Token 2 (hiệu lực: 719 giờ)
  • Tại thời điểm 2 giờ: Refresh Token 2 được dùng để lấy Access Token 3 (hiệu lực: 1 giờ) và Refresh Token 3 (hiệu lực: 718 giờ)
  • ....