Så fungerar access tokens

För säkerhetsflödet Authorization Code Grant (ACG) måste användaren autentisera sig med hjälp av antingen organisationslegitimation eller e-legitimation mot Skatteverkets auktorisationsserver. Därefter kan programvaran hämta en auktorisationskod, som sedan växlas mot en access token i auktorisationsservern. Med hjälp av access token får användaren slutligen åtkomst till API:et.

För säkerhetsflödet Client Credentials Grant (CCG) krävs ingen auktorisationskod. Efter autentisering hämtar programvaran access token direkt.

I förklaringen av respektive säkerhetsflöde finns mer utförlig beskrivning om hur access token hämtas.

• Authorization Code Grant
• Client Credentials Grant

Begränsningar för antal access tokens

Den begränsning som finns för access tokens är antal samtidigt giltiga access tokens per användaridentitet.

Användaridentiteten är personnummer, organisationsnummer eller client ID och skiljer sig åt mellan de olika säkerhetsflödena. Hur många access tokens som går att använda samtidigt skiljer sig också åt mellan produktions- och testmiljö.

Det är viktigt att använda access token under hela dess giltighetstid, för att inte belasta token-tjänsten med onödiga anrop. Om max-antalet för samtidiga tokens per användaridentitet nås kan du inte få någon ny token. Giltighetstiden ser du i svaret när du hämtat din access token. Det är angett i enheten sekunder och syns på raden "expires in".

Refresh token underlättar för slutanvändaren

Om du använder flödet ACG med e-legitimation behöver slutanvändaren alltid identifiera sig med e-legitimation för att hämta ut en access token. För att undvika det kan du använda en så kallad refresh token. Då behöver slutanvändaren bara autentisera sig med e-legitimation vid första anropet när sessionen saknas.

När giltighetstiden gått ut går det att hämta en ny access token med hjälp av en refresh token. Då behöver slutanvändaren inte legitimera sig igen. Du använder refresh token genom att anropa auktorisationsservern och lägga till refresh token i anropet. Auktorisationsservern svarar då med en ny access token. Refresh token har en giltighetstid på 65 minuter. Det går att hämta maximalt 10 refresh tokens per användare under en pågående session.