Jetons d’actualisation avec OIDC
Avec le pipeline conforme à l’OIDC, les jetons d’actualisation :
Ne seront plus renvoyés lors de l’utilisation de l’autorisation implicite pour l’authentification.
Peuvent être utilisés pour les applications confidentielles.
Peuvent être utilisés avec la Rotation des jetons d’actualisation par les applications publiques lors de l’utilisation du flux Code d’autorisation avec PKCE.
Doit utiliser le point de terminaison
/oauth/tokenpour obtenir de nouveaux jetons car le point de terminaison/delegationest déconseillé.
De plus, il existe des différences dans la structure des jetons d’actualisation. Pour en savoir plus, veuillez consulter Jetons d’actualisation.
Héritage (délégation)
POST /delegation
Content-Type: 'application/json'
{
"grant_type": "urn:ietf:params:oauth:grant-type:jwt-bearer",
"client_id": "...",
"refresh_token": "...",
"scope": "openid profile"
}Was this helpful?
OIDC-conforme (point de terminaison du jeton)
POST /oauth/token
Content-Type: application/x-www-form-urlencoded
grant_type=refresh_token&refresh_token=123&client_id=123&client_secret=123&scope=openid+profile&audience=https%3A%2F%2Fapi.example.comWas this helpful?
Les paramètres
audienceetclient_secretsont optionnels.client_secretn’est pas nécessaire lors de la demande d’unrefresh_tokenpour une application publique.
Les jetons d’actualisation doivent rester confidentiels pendant le transport et stockage, et ne doivent être partagés qu’entre le serveur d’autorisation et le client pour lequel les jetons d’actualisation ont été émis.