自动化应用程序的基于令牌的身份验证

Question

（使用 Web API）自动化应用在令牌过期时接收错误以获取新令牌的正确/最合适的方式是什么？

我了解基于令牌的身份验证如何为坐在屏幕前的最终用户工作，即当他们的令牌过期时，他们的下一个请求会将他们重定向到登录页面以获取新令牌。

不过，我想知道自动化应用的最佳做法是什么。 在这种情况下，屏幕前面没有任何东西，因此重定向到屏幕以手动输入详细信息是不合适的。

我应该在 401 响应中返回一个 url 以供客户端应用程序获取，以便他们知道在哪里执行 POST 以获取新令牌，还是只返回 401 并记录用户应该在哪里更合适去拿新令牌？

如果返回 url 和 401 响应是合适的，那么实现此目的的正确响应格式是什么？

Answer 1

一般来说，我认为只返回 401 并让客户端处理错误就可以了。至此，您的 Web api 应用程序已经完成了它的工作，接下来由客户决定做出什么决定。大概客户端应用程序应该知道从哪里获取新令牌，首先创建了一个。

另一种选择是使用“更新令牌”方法在旧令牌过期之前生成新令牌（如果您的令牌过期很快，则不会打扰）。