我们有时会失去代表通过OAuth2进行身份验证的用户访问Fitbit API的功能。通常,刷新访问令牌是可行的,因此我认为我们的基本实现是正确的。但是最终有足够的失败(〜1%的用户),我想弄清楚这一点,而不是困扰人们重新认证,而又无法向他们解释为什么我们首先失去了他们的连接(这就是我的意思)一直到现在为止。
如果到刷新端点的POST成功,则肯定有可能失去访问权限,但是我们没有收到响应。但是我们经常看到这种情况,以至于我想如果这是解释,那么这将是OAuth 2中的致命缺陷,它将使提供程序一直使用OAuth 1。
有没有人遇到这个问题并想出一种解决方案,以确保人们对OAuth 2端点进行持久认证?
环境:
Rails 5.1应用。通过Sidekiq工作者连接到Fitbit API。 我们使用omniauth-fitbit gem来执行初始OAuth。