Yahoo APIのアクセストークンとリフレッシュトークンの有効期限

本稿で学べること

• Yahoo! APIのアクセストークンとリフレッシュトークンが期限切れになるまでの時間。
• 申請により、リフレッシュトークンの有効期限は延長できること。

アクセストークンの有効期限

• 通常は3600秒(1時間)¹。
  • アクセストークン自体の有効期限は短いが、リフレッシュトークンでアクセストークンを更新し続ければ、リフレッシュトークンの有効期限が来るまでは、再認可が必要になることはない。

リフレッシュトークンの有効期限

• 通常は4週間¹。
• ただし、セキュリティの観点²から、下記API³は12時間に短縮されている。
  • ショッピング:注文検索API - Yahoo!デベロッパーネットワーク
  • ショッピング:注文詳細API - Yahoo!デベロッパーネットワーク
  • ショッピング:注文内容変更API - Yahoo!デベロッパーネットワーク
  • ショッピング:メッセージ投稿API - Yahoo!デベロッパーネットワーク
  • ショッピング:質問詳細API - Yahoo!デベロッパーネットワーク
  • ショッピング:質問一覧API - Yahoo!デベロッパーネットワーク
  • 延長申請し、クライアント証明書認証を使うことで4週間に拡大できる³。
• リフレッシュトークンが期限切れになった場合は、再認可が必要になる。(つまり、Yahoo!のログイン画面で認証し、認可しなおす手動対応が必要になる)

リフレッシュトークンの有効期限の更新

• リフレッシュトークンは、再認可すると有効期限が更新される⁴。
  • その際、リフレッシュトークンの文字列は変わらない⁴。
  • つまり、4週間(12週間)たたずに再度認可しなおすオペレーションを繰り返せば、リフレッシュトークンの有効期限だけが更新されるため、同じリフレッシュトークンを4週間(12時間)以上使い回すことが可能。
  • 文字列が更新されるのは有効期限切れ、もしくは同意撤回をした後に再度同意した場合⁴。

リフレッシュトークンのrevoke(無効化)

• Yahoo APIは、OAuth規格のrevokeには対応していないため、リフレッシュトークンをrevokeすることができない。そもそもエンドポイントが生えていない。

関連

• Yahoo APIでアクセストークン有効期限切れのレスポンスサンプル - Qiita
• yahoo-id.sh: Yahoo APIのアクセストークンを取得する開発ツール - Qiita
• Yahoo! ID連携(v1)でアクセストークンを取得する手順をHTTPだけで説明する - Qiita

1. Yahoo! ID連携:Tokenエンドポイント - Yahoo!デベロッパーネットワーク ↩ ↩²

2. 一部の注文APIで証明書認証に対応しました - Yahoo!デベロッパーネットワーク ↩

3. ショッピング:ヘルプ - Yahoo!デベロッパーネットワーク ↩ ↩²

4. Yahoo WEB APIをバッチ処理から実行したい - Qiitaのコメント ↩ ↩² ↩³