De levensduur van een access token op Exact Online is 10 minuten (600 seconden), zoals zichtbaar bij een data container:
Exact Online gebruikt OAuth voor de authenticatie van gebruikers. Zowel de Code Grant Flow met een refresh token als de Implicit Grant Flow worden ondersteund. De ondersteunde OAuth flows kunnen theoretisch per applicatie ingesteld worden, maar in de praktijk zijn altijd zowel de Implicit Grant als Code Grant Flow beschikbaar.
Beiden leveren een access token. Een access token heeft een levensduur op Exact Online van 10 minuten.
De levensduur van het refresh token is op Exact Online onderworpen aan verschillende criteria:
- Elk historisch refresh token kan eeuwig opnieuw gebruikt worden indien op de Exact Online app het gebruik van obsolete refresh token is ingeschakeld door Exact Online API support.
- Een refresh token kan 10 minuten gebruikt worden indien op de Exact Online app het gebruik van obsolete refresh token is uitgeschakeld door Exact Online API support. Het voorgaande refresh token vervalt pas zodra het nieuwe refresh token gebruikt is om een nieuw access token te verwerven.
- Een refresh token blijft tenminste 30 dagen geldig als het niet gebruikt wordt om een access token te verwerven. Op dit moment (juli 2021) wordt een levensduur vanaf 180 dagen gehanteerd die geleidelijk omlaag gebracht zou kunnen gaan worden naar 30 dagen.
Op Invantive Cloud kunnen refresh tokens gegenereerd worden via het scherm “Pre-authenticatie” voor een eigen Exact Online app (client ID) en voor de Invantive producten. Lees hiervoor Preauthenticate Exact Online - Invantive Cloud.
Bij het registreren van een Exact Online Power BI database wordt ook automatisch een refresh token gemaakt zoals beschreven op Verbind Power BI met Exact Online, 180 dagen gratis.
Via instellingen op de Exact Online SQL-driver van Invantive kan het vernieuwen van het refresh token en access token geforceerd worden zoals beschreven op Verversen van OAuth access token en refresh token configureren, inclusief Exact Online. Om de lagere robuustheid van het Exact Online refresh token te compenseren bieden sommige platformen een oplossing voor auto-recovery: het gebruik hiervan is een organistorische afweging tussen robuust en secure.
Een gepubliceerde Exact Online applicatie kan zogenaamde “scopes” definiëren. Exact noemt dat “data scoping”.
Het afdwingen van scopes kan per Exact app ingesteld worden door Exact Online API Support. Afhankelijk van de scopes zijn tabellen deels beschikbaar. Een private Exact Online app heeft altijd toegang tot alle Exact Online tabellen.