Bom dia, @calebportodev. Isso mesmo, você consome o endpoint POST /oauth/token para capturar o access_token e
você pode adotar duas abordagens para reutilizá-lo:
- Renovação periódica: programar sua aplicação para verificar se o "access_token" ainda é válido a cada 3600 minutos (1 hora). Se ele estiver prestes a expirar, você pode fazer uma nova autenticação para obter um novo "access_token";
- Autenticação sob demanda: autenticar e usar o mesmo "access_token" até que ocorra uma falha 401 de na requisição. Quando essa falha ocorrer (indica que o token expirou), então você pode fazer uma nova autenticação para obter um novo "access_token".