OAuth 2.0不使用长久有效令牌而使用短时有效令牌来提供长期用户认证（通过刷新令牌）。刷新令牌允许用户在一段时间内留在应用程序中而不必重新输入用户名和密码。这样可以避免用户认证数据泄露的风险。

设置OAuth 2.0通过以下方式授权：

• 通过用户名或电子邮箱和密码
• 通过社交网络
• 通过Steam

如启用了该选项，则用户注册和认证通过调用Register new user和JWT auth by username and password API调用进行。本SDK为OAuth 2.0授权提供与JWT令牌授权相同的方法。在FXsollaAuthToken结构中，刷新令牌在RefreshToken字段中指定。

1. 在发布商帐户中为登录管理器项目设置OAuth 2.0认证。
2. 在虚幻引擎项目中设置插件。

在发布商帐户中设置登录管理器项目的OAuth 2.0认证

1. 前往您的发布商帐户。
2. 在侧边栏中单击登录管理器。
3. 在登录管理器项目窗格中单击配置。
4. 前往安全性区块，然后选择OAuth 2.0部分。
5. 单击添加OAuth 2.0。
6. 在OAuth 2.0重定向URI字段中，指定用户成功完成认证、邮箱验证或密码重置后将其重定向到的URL或应用程序内路径。
7. 单击连接。
8. 复制并保存客户端ID。

在虚幻引擎项目中设置插件

1. 在虚幻编辑器中打开您的虚幻引擎项目。
2. 前往Settings > Project Settings > Plugins > Xsolla Settings > General。
3. 在Client ID字段中，指定在发布商帐户中设置OAuth 2.0时收到的客户端ID。
4. 在Redirect URI字段中，指定URL或路径。该值必须与发布商帐户中登录管理器 > 您的登录管理器项目 > 安全性 > OAuth 2.0部分中指定的值一致。

本SDK中实现了以下方法与刷新令牌交互：

• RefreshToken — 令牌过期后刷新令牌。
• ExchangeAuthenticationCodeToToken — 用用户的认证代码换取一个有效的JWT。

RegisterUser、GetSocialAuthenticationUrl和AuthenticateWithSessionTicket中的State参数用于OAuth 2.0认证过程中的额外用户验证。该参数用于防止可能的CSRF攻击。

令牌失效可提高应用程序中用户认证数据的安全性。如启用该选项，每次用户认证时旧令牌将失效，新令牌将取代旧令牌。

使用SDK时，如果with_logout参数值为1，调用Auth by username and password和Auth via social network API调用将使现有令牌失效并生成新令牌。

要在您的虚幻引擎项目中启用令牌失效：

1. 前往Settings > Project Settings > Plugins > Xsolla Settings。
2. 启用Invalidate Existing Sessions选项。