Saltar al contenido principal
POST /oauth/revoke Use este endpoint para invalidar un Token de actualización si se ha visto comprometido. El comportamiento de este endpoint depende del estado del conmutador Refresh Token Revocation Deletes Grant. Si este conmutador está habilitado, cada solicitud de revocación invalida no solo el token específico, sino también todos los demás tokens basados en la misma concesión de autorización. Esto significa que todos los Tokens de actualización emitidos para el mismo usuario, la misma aplicación y la misma audiencia se revocarán. Si este conmutador está deshabilitado, solo se revoca el token de actualización, mientras que la concesión permanece intacta.

Observaciones

  • En las aplicaciones no confidenciales que no pueden mantener seguro el Secreto del cliente (por ejemplo, las aplicaciones nativas), el endpoint permite no enviar ningún Secreto del cliente, pero la propia aplicación debe tener la propiedad tokenEndpointAuthMethod establecida en none. Puede hacerlo desde la IU (Dashboard > Applications > Application Settings) o mediante la Management API.

Más información

Parámetros

client_id
string
requerido
El client_id de tu aplicación.
client_assertion
string
Un JWT que contiene una aserción firmada con las credenciales de tu aplicación. Se requiere cuando Private Key JWT es el método de autenticación de la aplicación.
client_assertion_type
string
El valor es urn:ietf:params:oauth:client-assertion-type:jwt-bearer. Se requiere cuando Private Key JWT es el método de autenticación de la aplicación.
client_secret
string
El client_secret de tu aplicación. Se requiere cuando Client Secret Basic o Client Secret Post es el método de autenticación de la aplicación. Específicamente, se requiere solo para aplicaciones web regulares.
token
string
requerido
El Token de actualización que quieres revocar.

Respuesta

EstadoDescripción
200(cuerpo de la respuesta vacío)
400Solicitud incorrecta
401No autorizado
defaultError inesperado