使用するだけのアプリケーションを開発していますSpotifyアカウントは1つであり、「oauth2を使用して」更新トークンを十分に理解していません。アプリケーションの実行中に再び認可を心配する。更新トークンを持っている場合、その更新トークンを永久に使用できますか、それともAPIにアクセスするたびにその更新トークンを使用して新しいトークンを常に取得する必要がありますか?
回答:
回答№1は1TLDR:呼び出しごとにアクセスキーを更新する必要はありませんが、有効期限が切れた場合はアクセスキーを更新する必要があります。
更新トークンはOAuth2フローの一部です。 アクセスキーの有効期間は短く、有効期限が切れますが、更新トークンの有効期間は長くなります。更新トークンをクライアントシークレットで使用して、アクセストークンの有効期限が切れたときに新しいアクセストークンを取得できます。これはセキュリティ対策です。アクセストークンが漏えいした場合、更新トークンとクライアントシークレットなしでは短命です。リフレッシュトークンが漏洩した場合は、ブラックリストに登録できます。
プライベートデータにアクセスしていない場合、いくつかの例外があります。 Spotify承認ガイド があります クライアント資格情報 更新を必要としないが、アクセスできるデータの種類が制限されているフロー。