Saltar al contenido principal
Configurar tu concesión de aplicación para que los tokens que emites tengan una duración corta significa que, cuando llegue el momento de revocar el acceso a un recurso protegido, puedes simplemente eliminar la concesión. En ese momento, la parte que tiene el solo dispone de un tiempo limitado entre la eliminación de la concesión y el vencimiento del token para hacer solicitudes adicionales a la API. Como esta es una opción fácil (y segura) de implementar, te recomendamos denegar el acceso a tus API y otros recursos protegidos revocando las concesiones de aplicación. Si, por ejemplo, usas una aplicación de máquina a máquina para acceder a tu API y tienes un socio que llama a tu API, y al finalizar el contrato actual deciden no renovar la colaboración. Ahora quieres quitarle a tu socio el acceso a tu API. Sin embargo, el problema es que le has dado un token de acceso que dura un mes.
  • ¿Qué puedes hacer en esta situación?
  • ¿Cómo podrías configurar tu entorno de Auth0 para que este tipo de situaciones sean más fáciles de gestionar en el futuro?”

Concesiones de aplicación

El principal problema en este escenario es el tiempo durante el cual el token de acceso a la API es válido: un mes. De forma predeterminada, Auth0 emite tokens de acceso que duran 24 horas. Establecer la duración del token en 24 horas significa que tu partner debe repetir el intercambio de credenciales de cliente (o la concesión que hayas implementado) para obtener un nuevo token de acceso cada 24 horas. Para denegar el acceso a tu partner debido al vencimiento de tu contrato, puedes simplemente eliminar la concesión de la aplicación para que, cuando su token actual expire, no pueda solicitar uno nuevo. Puedes cambiar la duración de un token configurando la opción token_lifetime. La duración concreta adecuada para tu caso de uso variará, pero te recomendamos establecer este valor lo más bajo posible. Un buen punto de partida para determinarlo sería el margen de demora que consideres aceptable entre eliminar la concesión y el último uso de la API.

Eliminar una concesión de aplicación

Para eliminar una concesión de aplicación, realiza la llamada DELETE correspondiente al en el endpoint Delete an Application Grant. Como parte de la llamada, deberás especificar el ID de la concesión de aplicación que quieres eliminar, que puedes obtener mediante el endpoint Get all Application Grants de la Management API. También puedes actualizar los tipos de concesión de una aplicación a través del .

Más información