Passer au contenu principal

Documentation Index

Fetch the complete documentation index at: https://auth0.generaltranslation.app/llms.txt

Use this file to discover all available pages before exploring further.

Auth0 émet un jeton d’accès ou un jeton d’ID en réponse à une demande d’authentification. Vous pouvez utiliser des jetons d’accès pour effectuer des appels authentifiés à une API sécurisée tandis que le jeton d’ID contient les attributs du profil utilisateur représentés sous forme de demandes. Les deux sont des jetons Web JSON () et par conséquent ont des dates d’expiration indiquées en utilisant la demande exp, ainsi que des mesures de sécurité, comme des signatures. Généralement, un utilisateur a besoin d’un nouveau jeton d’accès lorsqu’il accède à une ressource pour la première fois ou après l’expiration du jeton d’accès précédemment accordé. Un jeton d’actualisation est un artefact d’authentification qu’OAuth peut utiliser pour obtenir un nouveau jeton d’accès sans nécessiter l’intervention de l’utilisateur. Cela permet au serveur d’autorisation de raccourcir la durée de vie du jeton d’accès à des fins de sécurité sans impliquer l’utilisateur lorsque le jeton d’accès expire. Vous pouvez demander de nouveaux jetons d’accès jusqu’à ce que le jeton d’actualisation soit sur la liste de refus (DenyList). Il est important de maintenir le nombre de jetons d’actualisation dans une limite raisonnable et gérable afin de garantir une gestion sécurisée et facile de ces informations d’identification. Les applications doivent stocker les jetons d’actualisation de manière sécurisée étant donné qu’ils permettent fondamentalement à un utilisateur de rester authentifié de manière permanente.

Accès hors ligne

Si vous souhaitez permettre aux utilisateurs d’obtenir des jetons d’actualisation lorsqu’ils sont hors ligne, vous pouvez activer Autoriser l’accès hors ligne dans Paramètres API.
Vous pouvez augmenter la sécurité en utilisant une rotation des jetons d’actualisation, qui émet un nouveau jeton d’actualisation et invalide le jeton précédent à chaque demande faite à Auth0 pour un nouveau jeton d’accès. La rotation du jeton d’actualisation réduit le risque d’un jeton d’actualisation compromis.

Limites

Auth0 limite le nombre de jetons d’actualisation actifs à 200 par utilisateur et par application. Cette limite ne s’applique qu’aux jetons actifs. Si la limite est atteinte et qu’un nouveau jeton d’actualisation est créé, le système révoque et supprime le jeton le plus ancien pour cet utilisateur et cette application. Les jetons retirés et expirés ne comptent pas dans la limite. Pour consulter nos recommandations et meilleures pratiques pour éviter les excès de jetons, consultez Meilleures pratiques en matière de jetons.

Activer le drapeau OIDC

Le comportement du jeton d’actualisation est applicable aux applications conformes à l’OIDC. Vous pouvez configurer une application pour qu’elle soit conforme à OIDC de l’une des manières suivantes :
  1. Activer le drapeau Conforme OIDC pour une application.
  2. Passer une demande audience au point de terminaison /authorize de l’Authentication API.

Assistance trousse SDK

Pour les applications web

Les trousses SDK Auth0 prennent en charge les jetons d’actualisation, notamment en :
  • Node.js
  • ASP.NET Core
  • PHP
  • Java
Pour une liste complète, consultez Démarrages rapides.

Pour les applications monopages

Assurer une authentification sécurisée dans les applications monopages (SPA) présente plusieurs défis en fonction du cas d’utilisation de votre application. Les nouveaux contrôles de confidentialité du navigateur, tels que la Prévention intelligente du suivi (ITP), ont un impact négatif sur l’expérience utilisateur dans les applications monopages (SPA) en empêchant l’accès aux témoins tiers. Auth0 recommande d’utiliser la rotation des jetons d’actualisation qui offre une méthode de sécurité pour utiliser des jetons d’actualisation dans les applications monopages (SPA) tout en offrant aux utilisateurs finaux un accès fluide aux ressources sans perturbation de l’expérience utilisateur causée par les technologies de confidentialité du navigateur telles que l’ITP.

Pour les applications natives/mobiles

Pour les applications natives, les jetons d’actualisation améliorent considérablement l’expérience d’authentification L’utilisateur ne doit s’authentifier qu’une seule fois, via le processus d’authentification web. Les réauthentifications ultérieures peuvent se produire sans interaction de l’utilisateur, en utilisant le jeton d’actualisation. Pour plus de renseignements sur l’utilisation des jetons d’actualisation avec nos trousses SDK mobiles, consultez :

En savoir plus