Changements dans les jetons d’Auth0 Management API v2

Il y a quelque temps, nous avons modifié le processus d’obtention d’un jeton de Management APIv2. Cet article explique ce qui a changé, la raison d’être de la modification et comment vous pouvez contourner cela (déconseillé).

Jusqu’à récemment, vous pouviez générer un jeton de Management APIv2 directement à partir de l’explorateur Management API. Vous avez sélectionné les permissions, en fonction du point de terminaison que vous souhaitiez invoquer, et vous avez obtenu un jeton à partir de cette même page.

Cette méthode était très facile, mais elle était également très peu sûre. Nous l’avons donc modifiée.

La nouvelle méthode utilise le flux des identifiants client. Pour apprendre à utiliser le nouveau processus, consultez Jetons d’accès à Management API.

Pour générer le jeton, Management API nécessitait l’accès à votre Secret global du client (utilisé pour signer le jeton). C’est une information qui ne devrait pas être exposée aux navigateurs web.

En outre, l’explorateur d’API ne dispose d’aucun moyen d’autorisation. Cela signifie que si un utilisateur pouvait se connecter et accéder à API Explorer, il pourrait générer un jeton avec n’importe quelle permission, même s’il n’était pas autorisé à avoir cette permission.

La nouvelle implémentation ne présente pas de tels risques. Une fois que vous avez effectué la configuration initiale, vous pouvez obtenir un jeton soit en visitant Auth0 Dashboard, soit en effectuant une simple requête POST vers le point de terminaison /oauth/token de notre Authentication API.

Cependant, en ce qui concerne le processus manuel, nous comprenons que changer d’écrans ne constitue pas toujours la meilleure expérience utilisateur. Nous cherchons donc des moyens de rendre le nouveau flux plus intuitif.

Avec le flux précédent, les jetons n’expiraient jamais. Avec le nouveau flux, tous les jetons de Management APIv2 expirent par défaut après 24 heures.

Avoir un jeton qui n’expire jamais peut être très risqué, au cas où une personne malicieuse parviendrait à s’en emparer. Si le jeton expire dans quelques heures, cette personne malicieuse n’a qu’une petite fenêtre de temps pour accéder à vos ressources protégées.

Pour obtenir un jeton, vous devez suivre uniquement le processus décrit dans Jetons d’accès à Management API.