Snowflake OAuth 安全集成的一次性刷新令牌¶

在 HTTP 请求正文中使用请求参数¶

在授权码授予流程中，客户端应用程序可以在向 Snowflake OAuth 的令牌请求端点发出的 HTTP POST 请求正文中将 enable_single_use_refresh_tokens 请求参数设置为 TRUE。

在授权码授予流程中，客户端应用程序将 enable_single_use_refresh_tokens 请求参数设置为 TRUE 后，所有未来的刷新令牌授予流程都会返回新的刷新令牌和新的访问令牌，并使以前的所有访问令牌和刷新令牌失效。

例如，您可以发出以下 HTTP POST 请求来执行 授权码授予流程，并将 enable_single_use_refresh_tokens 请求参数设置为 TRUE，以获取您的第一个访问令牌和刷新令牌：

POST /oauth/token-request HTTP/1.1
Host: <my_subdomain>.snowflakecomputing.cn
Authorization: Basic <client_id:client_secret>
Content-Type: application/x-www-form-urlencoded

grant_type=authorization_code&code=123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ12345&redirect_uri=http://127.0.0.1:8080&enable_single_use_refresh_tokens=true

{
  "access_token":  "<your_new_access_token>",
  "expires_in": 600,
  "refresh_token": "<your_new_refresh_token>",
  "token_type": "Bearer",
  "username": "<user1>",
}

然后，您可以提出以下 HTTP POST 请求，使用旧的刷新令牌执行 刷新令牌授予流程，以获取新的访问令牌和新的刷新令牌：

POST /oauth/token-request HTTP/1.1
Host: <my_subdomain>.snowflakecomputing.cn
Authorization: Basic <client_id:client_secret>
Content-Type: application/x-www-form-urlencoded

grant_type=refresh_token&refresh_token=<your_old_refresh_token>

{
  "access_token":  "<your_new_access_token>",
  "expires_in": 600,
  "refresh_token": "<your_new_refresh_token>",
  "token_type": "Bearer",
}

在 Snowflake OAuth 安全集成中设置属性¶

如果客户端应用程序在每次刷新令牌授予流程后更新其缓存的刷新令牌，则可以通过将 OAUTH_SINGLE_USE_REFRESH_TOKENS_REQUIRED 属性设置为 TRUE，为 Snowflake OAuth 安全集成 启用一次性刷新令牌。

为 Snowflake OAuth 安全集成启用一次性刷新令牌后，无论客户端应用程序在授权码授予流程中是否指定 enable_single_use_refresh_tokens 请求参数，所有使用安全集成的 client_id 授权码授予流程和刷新令牌授予流程都会颁发一次性刷新令牌。

例如，您可以使用 ALTER SECURITY INTEGRATION 为 Snowflake OAuth 安全集成启用一次性刷新令牌：

ALTER SECURITY INTEGRATION my_integration
  SET OAUTH_SINGLE_USE_REFRESH_TOKENS_REQUIRED = TRUE;