# 获取 Token

# Token 机制

开放平台采用 Auth2.0 授权流程获取 Token，且获取的每个 Access Token 和 Refresh Token 都具有时效性，开发者需要重视其保存及时效性的检查，保障应用的正常使用。

为了安全考虑，开发者请勿将 Access Token 返回给前端，需要开发者保存在后台，所有访问 api 的请求由后台发起

获取 Access Token 是调用API接口的第一步，相当于创建了一个登录凭证，其它的业务 API 接口，都需要依赖于 Access Token 来鉴权调用者身份。因此开发者，在使用业务接口前，要明确 Access Token 的颁发来源，使用正确的 Access Token。

访问令牌（Access Token）是安全性的一个概念，当用户使用 API 前，需要创建一个访问令牌，里面包含登录信息。客户端访问资源服务器时需要带上的令牌。一般 Access Token 的有效期是 7天。

Refresh Token 的作用是刷新 Access Token。认证服务器会提供一个刷新接口，我们传入 Refresh Token，认证服务器通过后会返回一个新的 Access Token。一般 Access Token 的有效期是 180 天。

建议用户开发时增加定期检查Token的有效性的逻辑处理：使用 Token 前定期对保存的每个 Token 进行到期日的校验，如果校验结果 Access Token 已到失效日期，则需使用 Refresh Token 进行Token的刷新。

如果检查到 Access Token 即将过期，应用可以采用 Refresh Token 刷新获取新的 Access Token 和新的 Refresh Token，然后继续按照Token的保存方法将新获取的保存。Token 的刷新建议使用延迟队列的形式进行。

如果检查到 Access Token 和 Refresh Token 都已过期失效，则只能通过用户的重新授权再次获取有效的新 Token。