Gérer les jetons d’actualisation avec Management API Auth0
Auth0 émet un jetons d’actualisation en tant qu’artefact d’authentification que votre application peut utiliser pour obtenir un nouveau jeton d’accès sans nécessiter l’intervention de l’utilisateur. Cela permet à Auth0 de raccourcir la durée de vie du jeton d’accès à des fins de sécurité sans impliquer l’utilisateur lorsque le jeton d’accès expire.
Les points de terminaison du jeton d’actualisation de Management API Auth0 sont actuellement disponibles pour les clients du plan Enterprise. Pour en savoir plus, lisez Tarification.
Points de terminaison de Management API
Management API d’Auth0 fournit des points de terminaison pour gérer les jetons d’actualisation individuellement ou en tant que collection.
Ces points de terminaison complètent la révocation alternative du jeton d’actualisation, remplaçant les points de terminaison de ressource device-credentials par des propriétés étendues et des opérations de révocation en bloc.
Ressource du jeton d’actualisation
Vous pouvez afficher ou révoquer un jeton d’actualisation spécifique avec les points de terminaison suivants :
| Nom | URL | Permissions requises |
|---|---|---|
| Afficher les informations d’un jeton d’actualisation par ID | GET /api/v2/refresh-tokens/{tokenId} |
read:refresh_tokens |
| Révoquer un jeton d’actualisation par ID | DELETE /api/v2/refresh-tokens/{tokenId} |
delete:refresh_tokens |
Ressource utilisateur
Vous pouvez répertorier ou révoquer tous les jetons d’actualisation pour un utilisateur donné avec les points de terminaison suivants :
| Nom | URL | Permissions requises |
|---|---|---|
| Liste de tous les jetons d’actualisation d’un utilisateur | GET /api/v2/users/{userId}/refresh-tokens |
read:refresh_tokens |
| Révoquer tous les jetons d’actualisation d’un utilisateur | DELETE /api/v2/users/{userId}/refresh-tokens |
delete:refresh_tokens |
Propriétés du jeton d’actualisation
Les points de terminaison du jeton d’actualisation renvoient des informations pertinentes sur le jeton et sur son historique.
| Champ | Description |
|---|---|
| Identifiant du jeton d’actualisation | Un identifiant unique et propre au locataire du jeton d’actualisation dans l’API. Il ne s’agit pas du jeton en tant que tel, qui est un secret à échanger avec le point de terminaison du jeton dans l’Authentication API. Les jetons d’actualisation peuvent survivre à une session. Le jeton d’actualisation conserve cette information quel que soit le cycle de vie de la session. |
| Identifiant de session | L’identifiant de session est un identifiant persistant de la session dans le locataire Auth0. Notez que l’identifiant de session correspond à la demande sid déjà présente dans les jetons d’ID et les jetons de connexion et peuvent servir à établir des références croisées entre ces entités.Le jeton d’actualisation contient des références à la session qui a été utilisée pour créer le jeton. L’identifiant de session peut servir à récupérer des informations supplémentaires avec le point de terminaison de Management API Introspection d’une session particulière par identifiant. |
| Temps pertinent | Création du jeton d’actualisation et informations d’expiration. |
| Informations sur les serveurs client et de ressources | Informations résumées sur les applications et les API liées à un jeton d’actualisation. |
| Contexte de l’appareil | La propriété de l’appareil suit les détails liés au réseau (IP, ASN) et l’agent utilisateur pendant la création et l’échange du jeton d’actualisation |
Limites
Les opérations de révocation du jeton d’actualisation (
DELETE) s’exécutent de manière asynchrone et sont finalement cohérentes.Les jetons d’actualisation émis à partir du 21-09-2023 (22-02-2024 pour les locataires de la région US-3) contiennent la propriété identification de session (
session_id) avec la valeur appropriée. Les jetons d’actualisation émis avant cette date contiennent cette propriété avec une valeurnull.