Jetons d’ID

Les jetons d’ID sont utilisés dans l’authentification basée sur les jetons pour mettre en cache les informations relatives au profil utilisateur et les fournir à une application client, ce qui permet d’améliorer les performances et l’expérience. L’application reçoit un jeton d’ID après l’authentification réussie de l’utilisateur, puis consomme le jeton d’ID et en extrait des informations de l’utilisateur, qu’elle peut ensuite l’utiliser pour personnaliser l’expérience de l’utilisateur.

Par exemple, supposons que vous ayez une application Web ordinaire que vous enregistrez avec Auth0 et configurez pour permettre aux utilisateurs de se connecter avec Google. Une fois que l'utilisateur s'est connecté, utilisez le jeton d'identification pour recueillir des informations telles que le nom et l'adresse courriel, que vous pouvez ensuite utiliser pour générer automatiquement et envoyer un courriel de bienvenue personnalisé.

Les jetons d’ID ne doivent jamais être utilisés pour obtenir un accès direct à l'API ou pour prendre des décisions d’autorisation.

Sécurité des jetons d’ID

Tout comme pour d’autres JWT , vous devez appliquer les bonnes pratiques d’utilisation des jetons lorsque vous utilisez et stockez des jetons d’ID.

La sécurisation des applications qui effectuent des appels d’API pose ses propres problèmes. Vous devrez vous assurer que les jetons et autres données sensibles ne sont pas vulnérables à l’injection de code indirecte (XSS) et ne peuvent pas être lus par un JavaScript malveillant.

Durée de vie du jeton d’ID

Par défaut, un jeton d’ID est valable pendant 36 000 secondes (10 heures). En cas de problèmes de sécurité, vous pouvez raccourcir le délai d’expiration du jeton, tout en gardant à l’esprit que l’un des objectifs du jeton est d’améliorer l’expérience de l’utilisateur en mettant en cache les informations de l’utilisateur qui le concernent. Pour en savoir plus, consultez Mettre à jour la durée de vie des jetons d’ID.

En savoir plus