Så fungerar access tokens

För säkerhetsflödet Authorization Code Grant (ACG) måste användaren autentisera sig med hjälp av antingen organisationslegitimation eller e-legitimation mot Skatteverkets auktorisationsserver. Därefter kan programvaran hämta en auktorisationskod, som sedan växlas mot en access token i auktorisationsservern. Med hjälp av access token får användaren slutligen åtkomst till API:et.

För säkerhetsflödet Client Credentials Grant (CCG) krävs ingen auktorisationskod. Efter autentisering hämtar programvaran access token direkt.

I förklaringen av respektive säkerhetsflöde finns mer utförlig beskrivning om hur access token hämtas.

• Authorization Code Grant
• Client Credentials Grant

Begränsningar för antal access tokens

Den begränsning som finns för access tokens är antal samtidigt giltiga access tokens per användaridentitet.

Användaridentiteten är personnummer, organisationsnummer eller client ID och skiljer sig åt mellan de olika säkerhetsflödena. Hur många access tokens som går att använda samtidigt skiljer sig också åt mellan produktions- och testmiljö.

Det är viktigt att använda access token under hela dess giltighetstid, för att inte belasta token-tjänsten med onödiga anrop. Om max-antalet för samtidiga tokens per användaridentitet nås kan du inte få någon ny token. Giltighetstiden ser du i svaret när du hämtat din access token. Det är angett i enheten sekunder och syns på raden "expires in".

Refresh token underlättar för slutanvändaren

Om du använder säkerhetsflödet ACG med e-legitimation behöver slutanvändaren autentisera sig vid det första anropet som programvaran gör mot Skatteverkets API. Programvaran kan sedan hämta en ny access token med hjälp av en refresh token om sessionen pågår längre än tokens giltighetstid. Då slipper slutanvändaren använda sin e-legitimation varje gång som access token behöver förnyas.

Refresh token följer alltid med access token i ACG-flödet. Du använder den genom att anropa auktorisationsservern och lägga till refresh token i anropet. Refresh token har en giltighetstid på 65 minuter. Det går att hämta maximalt 10 refresh tokens per slutanvändare under en pågående session.