C# SDK Integration - JWT Token Refresh?

API Discussion
1

Hallo,

ich frage mich aktuell, wie das Thema JWT-Token künftig gelöst werden soll.

Derzeit ist es ja so, dass der Token über das Dashboard erstellt werden muss und spätestens nach 90 Tagen abläuft.

In der Dokumentation des SDKs bin ich auf den Punkt „Dynamic Token Updates“ gestoßen. Dort klingt es so, als könne der JWT-Token zur Laufzeit aktualisiert werden, wenn er abgelaufen ist:

Dynamic Token Updates
For long-running applications (like a background synchronization service), your JWT might expire. The ApiClientBase exposes a method to update the token without re-instantiating the client.

public class BackgroundSync(UnitClient unitClient)
{
    public async Task RunSyncJob()
    {
        // Logic to check token expiration...
        string newToken = await FetchNewTokenFromAuthServer();
        
        // Updates the token for all future requests made by this instance
        unitClient.UpdateToken(newToken);
        
        await unitClient.GetAllAsync(...);
    }
}

Allerdings finde ich in der API aktuell keinen entsprechenden Endpunkt, über den tatsächlich ein Token-Refresh oder das Abrufen eines neuen Tokens möglich wäre.

Daher stellt sich für mich die Frage, wie dieser Ablauf in der Praxis gedacht ist:
Soll der Token weiterhin ausschließlich manuell über das Dashboard neu erstellt werden, oder ist künftig noch ein entsprechender Auth-/Refresh-Mechanismus geplant?

VG
pat

C# SDK Integration - API-Design-Frage. Ein Weg rein, aber wie sieht der Weg zurück aus?
2

Derzeit wird im Grund über das Profil ein sehr lang gültiges refresh-token ausgestellt. Falls kompromittiert wird zumindest von unseren RQS-Servern ein revoke unterstützt. Wenn das Token aktualisiert werden soll, müsste es derzeit manuell über das Profil angefordert werden.

Implementiert werden soll ein client credentials flow (client_id und client_secret) welche sich wiederum dann den refresh-token organisieren (dann kurze Lebensdauer). Dieser neue Code würde dann unitClient.UpdateToken(newToken); automatisch aufrufen. Ist aber noch nicht im Client implementiert und deshalb die derzeitige manuelle Variante über das Profil.

Es wird so aber kein breaking-change in Zukunft, da JWT so bereits implementiert ist.