Refresh токен
Информация, представленная на этой странице, актуальна для боевого контура системы. Авторизация в тестовом контуре происходит с некоторыми отличиями. Подробности об авторизации в тестовом контуре доступны на странице Авторизация в тестовом контуре.
Refresh токен — долгосрочный токен обновления, выписываемый пользователем API после успешной авторизации в Учётной записи разработчика и привязки торгового аккаунта.
Роль этого токена — обновление краткосрочного Access токена, применяемого при авторизации запросов к API, выполняемых пользователем от своего имени.
Refresh токен позволяет создавать Access токены, использование которых да ёт доступ к системе, равносильный использованию комбинации логина и пароля торгового аккаунта. Обеспечьте его конфиденциальность.
Просмотр и управление токенами
Единственным инструментом для управления Refresh токенами, доступным пользователю API, является страница Токены для доступа к API.
Созданные токены отображаются на странице списком со следующей информацией о каждом токене:
- Значение токена. По умолчанию отображается в скрытом виде. Для отображения в открытом виде нажмите кнопку
Показать
- Дата создания токена
- Дата истечения срока действия токена
- Состояние токена. Для токенов с истёкшим сроком действия и отозванных вручную отображается фактический статус
Отозван
, для действующих токенов — кнопкаОтозвать токен
Список отображается без постраничного разделения, в связи с чем не рекомендуется бесприч инно создавать большое количество Refresh токенов, хоть их количество и не ограничивается системой.
В списке отображаются все Refresh токены, созданные от имени привязанного торгового аккаунта независимо от того, какой учётной записью они были созданы.
Учётные записи "Разработчик_1" и "Разработчик_2", используя один торговый аккаунт, создали по токену. В результате оба токена будут отображаться в списке у обоих разработчиков.
То же касается и отзыва токенов — отзыв производится для торгового аккаунта, а не для определённой учётной записи разработчика.
"Разработчик_1" увидел в списке токен, созданный для себя учётной записью "Разработчик_2", и отозвал его. В результате токен был отозван для обоих разработчиков.
Таким образом, все токены торгового аккаунта являются общими для всех пользователей API, использующих этот торговый аккаунт.
Создание токена
Чтобы выписать новый Refresh токен, выполните следующие действия:
- Авторизуйтесь на портале разработчика и перейдите на страницу Токены для доступа к API
- Нажмите кнопку
Выписать токен
, чтобы создать новый Refresh токен - Нажмите кнопку
Показать
, чтобы просмотреть созданный токен
Полученный токен будет действителен в течение 1 года с момента создания, если не будет отозван раньше.
Полученный Refresh токен можно использовать для создания Access токена, применяемого для авторизации запросов к системе.
Отзыв токена
Если Refresh токен был скомпрометирован или утратил применение до истечения срока действия, для снижения рисков безопасности рекомендует ся провести процедуру его отзыва.
Отзыв Refresh токена выполняется на той же странице, где он ранее был выписан.
Чтобы отозвать Refresh токен, выполните следующие шаги:
- Авторизуйтесь на портале разработчика и перейдите на страницу Токены для доступа к API
- Найдите подлежащий отзыву токен в списке
- Нажмите
Отозвать токен
Отзыв Refresh токена приведёт к прекращению действия всех Access токенов, созданных с его помощью.
Особенности и ограничения
При создании и использовании Refresh токенов учитывайте следующие особенности и ограничения:
- Срок действия Refresh токена ограничен и равен 1 году с момента создания
- Каждый токен предоставляет доступ ко всем договорам указанного торгового аккаунта. Выписать токен для отдельного рынка нельзя
- Выписываемые токены доступны для всех учётных записей разработчика, к которым привязан использовавшийся для создания токена торговый аккаунт
- Созданный токен можно отозвать вручную в любой момент до истечения срока действия
- Отозванный токен нельзя восстановить в рабочее состояние. Временно ограничить действие токена нельзя
- При отзыве Refresh токена также прекращают действие все Access токены, созданные с его помощью
Что дальше?
- Ознакомьтесь с деталями создания Access токенов для авторизации запросов к Боевому контуру от имени привязанного аккаунта
- Если нужно протестировать запросы к API без влияния на позиции портфе лей настоящего аккаунта, ознакомьтесь с особенностями авторизации в тестовом контуре
- Изучите возможности запросов к HTTP API и WebSocket API
Кроме того, могут оказаться полезными руководства по быстрому старту для Боевого и Тестового контуров.