Stripe Q51.Connect Standard アカウント連結後の返り値で、"refresh_token”も保存した方が良いですか？

'stripe_user_id'は固定値なので取得した方が良いのは分かるのですが、"refresh_token”も保存した方が良いですか？

「https://stripe.com/docs/connect/standard-accounts」で、 「"refresh_token”は、この最初のPOSTリクエストの後でしか取得できない」と掲載されていますが、何回か試すと毎回異なる値が返ってきます。

Q1.返り値に関して、'stripe_user_id'だけではなく"refresh_token"も保存した方が良いですか?

Q2."refresh_token"に毎回異なる値が返ってくるのは正常な状態ですか？　それともリクエストの仕方がおかしい？？
・リクエストする度に、"refresh_token"の値は更新されて、以前の"refresh_token"の値は使用できなくなる、ということですか？

Q3.Stripeのaccess_tokenの有効期限はありますか？

Q4.ざっくり言うと下記認識で合っていますか？
・access_tokenには有効期限があり、refresh_tokenには有効期限がない
・refresh_tokenを再発行すると、以前のrefresh_tokenは使用不可となる
・refresh_tokenを使用して、access_tokenを生成できる

> Q1.返り値に関して、'stripe_user_id'だけではなく"refresh_token"も保存した方が良いですか?

> Q2."refresh_token"に毎回異なる値が返ってくるのは正常な状態ですか？　それともリクエストの仕方がおかしい？？
・リクエストする度に、"refresh_token"の値は更新されて、以前の"refresh_token"の値は使用できなくなる、ということですか？

> Q3.Stripeのaccess_tokenの有効期限はありますか？

> Q4.ざっくり言うと下記認識で合っていますか？
・access_tokenには有効期限があり、refresh_tokenには有効期限がない

>・refresh_tokenを再発行すると、以前のrefresh_tokenは使用不可となる
>・refresh_tokenを使用して、access_tokenを生成できる

回答内容が私には難しかったため、疑問事項を改めて整理してみました。


主に下記(「Connect OAuth」へのアクセス)に関する疑問です。

--------------------------------------------------------

リクエスト部分
▼index.html

<a href="https://connect.stripe.com/oauth/authorize?response_type=code&client_id=ca_「プラットフォーム提供者である親アカウント」の「クライアント ID」&scope=read_write&redirect_uri=https://xxxx/redirect.php ">redirect_uri指定した登録</a>

リダイレクト部分
▼redirect.php

define('CLIENT_ID', 'ca_xxxx'); //「プラットフォーム提供者である親アカウント」の「クライアント ID」

define('STRIPE_SECRET', 'sk_live_xxxx'); //「プラットフォーム提供者である親アカウント」の「本番シークレットキー」

define('TOKEN_URI', 'https://connect.stripe.com/oauth/token' );

define('AUTHORIZE_URI', 'https://connect.stripe.com/oauth/authorize' );

if (isset($_GET['code'])) {

  $code = $_GET['code'];

  $token_request_body = array(

     'client_secret' => STRIPE_SECRET,

     'grant_type' => 'authorization_code',

     'client_id' => CLIENT_ID,

     'code' => $code,

  );

  $ch = curl_init(TOKEN_URI);

  curl_setopt_array($ch, [

    CURLOPT_RETURNTRANSFER => true,

    CURLOPT_POST => true,

    CURLOPT_POSTFIELDS => http_build_query($token_request_body),

  ]);

   $respCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);

   $resp = json_decode(curl_exec($ch), true);

   curl_close($ch);

}

保存すべき結果対象
$resp['stripe_user_id']を保存
$resp['refresh_token']を保存

--------------------------------------------------------

＜ 上記処理の流れ ＞

処理1. ユーザーをプラットフォームに接続するため、https://connect.stripe.com/oauth/authorize エンドポイントへアクセス。結果をGETで受け取る

処理2.承認コードをアクセストークンに変換するため、https://connect.stripe.com/oauth/token エンドポイントへPOST送信
--------------------------------------------------------

＜ 通常の使用方法 ＞
・上記「処理1」＋「処理2」後、$resp['stripe_user_id']を保存
・以降のリクエストでは「Stripe-Account header」利用
https://stripe.com/docs/connect/authentication#stripe-account-header

--------------------------------------------------------
Q1.上記index.htmlへのアクセスを2回実行した場合の意味は？　そもそも(間違って)複数回実行しても問題ありませんか？
・2回目戻り値である$resp['stripe_user_id']は不変でした
・2回目戻り値である$resp['refresh_token']は変更されていました
・下記に該当しますか？　「新たなTokenにロール」が難しいのですが、新しいToken発行して紐づけたぐらいの意味ですか？
＞新たなTokenにロールした場合は、過去のTokenはご利用いただけなくなります


Q2.（利用期限がない）access_tokenを再発行するケースの具体例について
・例えばどのような場面でaccess_tokenを再発行するのですか？
・下記で「いつでもユーザーによって無効にされる可能性があります」と掲載されていますが、ユーザーがaccess_tokenを無効にするケースとして具体的にはどのような場面が挙げられますか？
https://stripe.com/docs/connect/oauth-reference#post-token-request


Q3.＞しかし、access tokenにて認証を行うことをご検討いただいている場合や
・(Account headerを利用せず、)「access tokenにて認証を行う」とは、具体的にどのようなケースが該当しますか？


Q4.＞新たなaccess tokenに更新する際に"refresh_token"が必要となります
・「新たなaccess tokenに更新」とは、具体的にどのようなケースが該当しますか？
・「access token」の再発行とは異なる？？

> Q1.上記index.htmlへのアクセスを2回実行した場合の意味は？　そもそも(間違って)複数回実行しても問題ありませんか？

curl https://connect.stripe.com/oauth/token \

  -d client_secret= Platform Secret API KEY \

  -d code="{AUTHORIZATION_CODE}" \

  -d grant_type=authorization_code 

>Q2.（利用期限がない）access_tokenを再発行するケースの具体例について
・例えばどのような場面でaccess_tokenを再発行するのですか？

>・下記で「いつでもユーザーによって無効にされる可能性があります」と掲載されていますが、ユーザーがaccess_tokenを無効にするケースとして具体的にはどのような場面が挙げられますか？

Q3.＞しかし、access tokenにて認証を行うことをご検討いただいている場合や
・(Account headerを利用せず、)「access tokenにて認証を行う」とは、具体的にどのようなケースが該当しますか？

Q4.＞新たなaccess tokenに更新する際に"refresh_token"が必要となります
・「新たなaccess tokenに更新」とは、具体的にどのようなケースが該当しますか？
・「access token」の再発行とは異なる？？