IdentityServer BestPractice, когда обновлять токены

Question

Я сделал простое тестовое приложение, которое использует гибридный поток для аутентификации. Я сохраняю токен обновления как требование, и поэтому я могу обновить токены.

Но какова рекомендуемая практика, когда это необходимо сделать?

, на каком мероприятии следует проверить срок действия? Или я должен ждать несанкционированного события? Есть ли для этого пример?

Я знаю, что могу проверить истечение срока действия маркера до того, как будет выполнен запрос, или я могу дождаться несанкционированного доступа, но есть ли какой-либо рекомендуемый лучший способ совершения сделки, когда или в каком случае это может произойти?

Answer 1

Обычно вы сохраняете токен обновления в каком-то постоянном хранилище данных, поскольку весь его смысл - получить долговечный доступ к API.

Затем вы используете токен доступа, если он действителен (например, используйте его, пока вы не получите 401 из APII). Затем вы обновляете токен, используя токен обновления.