У меня есть вопросы, связанные с неинтерактивными клиентами, такими как серверные приложения на основе потока oauth2.
https://auth0.com/docs/api-auth/grant/client-credentials
В соответствии с oauth2 для неинтерактивных клиентов поток:
- Приложение аутентифицируется с помощью Auth0, используя его идентификатор клиента и секрет клиента.
- Auth0 проверяет эту информацию и возвращает access_token.
- Приложение может использовать access_token для вызова API от своего имени.
Исходя из этого, мои вопросы:
- Серверные приложения должны хранить access_token локально или запрашивать новый access_token для одного и того же клиента каждый раз, когда клиент использует приложение?
- Если access_token хранится локально, что случилось со сроком действия?
- Access_token для неинтерактивных клиентов должен иметь такое же время истечения срока действия, как и access_token для интерактивных пользователей (веб-вход в систему)?