何时将刷新令牌传递给API

我正在尝试使用spotipy python库构建一个应用程序来访问spotify api。 我的oauth代码看起来是这样的，除了用正确的auth参数初始化客户端之外，它似乎是有效的。 ... 向用户发送网址。在用户说她/他已经授予权限后：从Web服务器获取身份验证代码并用于生成令牌。 self.auth_token如下所示： 然后我像这样初始化 spotipy 客户端模块： 然后我尝试以下方法：

我正在使用springdoc（v1.5.9）为API生成虚张声势定义。在Swagger UI内部进行身份验证并执行安全方法后，Spring Boot应用程序接收到的http请求没有身份验证头。我已经通过JS调试器确认Swagger UI接收并存储了有效的身份验证令牌。 下面是HTTP请求、显示定义/应用于该方法的安全方案的Swagger api-docs、springdoc配置和控制器。 我需要如

我正在使用PyJWT库（导入jwt）库生成用于身份验证的JSON web令牌。 最初的设计让我们通过URL传入令牌，比如http://example.net？token=EYKDFKDFKDNDFK... 但是，使用此解决方案，似乎任何查看URL中的令牌的人都可以使用此令牌访问站点。

下面是官方指南中的GCM Android集成示例。 特别是，我对上述链接类中的以下行感到困惑： 现在，每当我的主要活动启动时，我都会调用intent服务，我相信instanceID负责启动令牌刷新。 我是否应该在每次从我的主要活动启动此GCM注册意图时检查Shared Prefs值。但是，在这种情况下刷新将失败，因为在初始令牌获取之后，条件将始终为true。 我应该放弃共享prefs逻辑吗？这样每

google oauth2刷新令牌何时过期？ 我所说的过期是指过期是因为经过了某个时间跨度（不是因为用户已撤销访问权限或用户已请求新的刷新令牌） 我做了一些研究，没有一个引用官方的谷歌文档（我也找不到一个有效的谷歌文档） 其他一些问题表示，由于时间，它从未过期： 谷歌刷新令牌过期了吗？ https://community.fitbit.com/t5/web-api-development/inva

授权服务器可以给Web应用客户端和本机应用程序客户端颁发刷新令牌。 刷新令牌在传输和储存时必须保持机密性，并只与授权服务器和刷新令牌被颁发的客户端共享。授权服务器必须维护刷新令牌和它被颁发给的客户端之间的绑定。刷新令牌必须只能使用带有RFC2818定义的服务器身份验证的1.6所述的TLS 传输。 授权服务器必须验证刷新令牌和客户端身份之间的绑定，无论客户端身份是否能被验证。当无法进行客户端身份验证