Saltar al contenido principal
Auth0 emite un o un en respuesta a una solicitud de autenticación. Puedes usar los tokens de acceso para hacer llamadas autenticadas a una API protegida, mientras que el token de ID contiene atributos del perfil de usuario representados en forma de claim. Ambos son (JWT) y, por lo tanto, tienen fechas de vencimiento indicadas mediante el claim exp, además de medidas de seguridad, como firmas. Normalmente, un usuario necesita un nuevo token de acceso cuando accede a un recurso por primera vez o después de que expire el token de acceso anterior que se le concedió. Un es una credencial que OAuth puede usar para obtener un nuevo token de acceso sin interacción del usuario. Esto permite que el reduzca la duración del token de acceso por motivos de seguridad sin involucrar al usuario cuando el token de acceso expira. Puedes solicitar nuevos tokens de acceso hasta que el token de actualización esté en la DenyList. Es importante mantener la cantidad de tokens de actualización dentro de un límite razonable y manejable para garantizar que estas credenciales puedan administrarse de forma fácil y segura. Las aplicaciones deben almacenar los tokens de actualización de forma segura porque, en esencia, permiten que un usuario permanezca autenticado indefinidamente.

Acceso sin conexión

Si quieres permitir que los usuarios obtengan tokens de actualización mientras están sin conexión, puedes activar el interruptor Allow Offline Access en Configuración de API.
Puedes aumentar la seguridad mediante la rotación del token de actualización, que emite un nuevo token de actualización e invalida el token anterior con cada solicitud realizada a Auth0 para obtener un nuevo token de acceso. La rotación del token de actualización reduce el riesgo de que un token de actualización se vea comprometido.

Limitaciones

  • Auth0 limita la cantidad de tokens de actualización activos a 200 por usuario y por aplicación. Este límite solo se aplica a los tokens activos. Si se alcanza el límite y se crea un nuevo token de actualización, el sistema revoca y elimina el token más antiguo de ese usuario y aplicación. Los tokens revocados y vencidos no cuentan para este límite. Para consultar nuestras recomendaciones y prácticas recomendadas para evitar un exceso de tokens, lee Prácticas recomendadas sobre tokens.
  • Después de un intercambio de tokens de actualización, Auth0 no actualiza las propiedades event.refresh_token.device.last* para los tokens que no vencen. Para obtener información sobre cómo habilitar tokens de actualización con vencimiento, lee Configurar la expiración del token de actualización.

Habilitar el indicador OIDC

El comportamiento del Token de actualización se aplica a las aplicaciones conformes a OIDC. Puede configurar una aplicación para que sea conforme a OIDC de una de las siguientes maneras:
  1. Habilitar el indicador OIDC Conformant para una aplicación.
  2. Enviar el claim audience al endpoint /authorize de la Authentication API.

Soporte del SDK

Para aplicaciones web

Los SDK de Auth0 admiten el uso de tokens de actualización, incluidos:
  • Node.js
  • ASP.NET Core
  • PHP
  • Java
Para ver la lista completa, consulte Quickstarts.

Para aplicaciones de página única

Proporcionar una autenticación segura en las SPA plantea varios desafíos según el caso de uso de su aplicación. Los nuevos controles de privacidad de los navegadores, como Intelligent Tracking Prevention (ITP), afectan negativamente la experiencia del usuario en las SPA al impedir el acceso a las cookies de terceros. Auth0 recomienda usar la , que ofrece un método seguro para usar tokens de actualización en las SPA y, al mismo tiempo, brindar a los usuarios acceso continuo a los recursos, sin las interrupciones en la experiencia de usuario que provocan tecnologías de privacidad del navegador como ITP.

Para apps nativas/móviles

En las aplicaciones nativas, los tokens de actualización mejoran significativamente la experiencia de autenticación. El usuario solo tiene que autenticarse una vez, mediante el proceso de autenticación web. Las reautenticaciones posteriores pueden realizarse sin interacción del usuario, mediante el token de actualización. Para obtener información sobre cómo usar tokens de actualización con nuestros SDK para móviles, consulta:

Más información