Saltar al contenido principal
Configure la rotación del para cada aplicación mediante el Dashboard o el SDK de SPA de Auth0. Cuando la está habilitada, la transición para el usuario es transparente. La aplicación usa el token de actualización no rotativo anterior que aún no ha vencido y lo intercambia por un token de actualización rotativo. Los escenarios de migración permiten la revocación automática de tokens al migrar de un token de actualización no rotativo a uno rotativo y viceversa.
  • Cuando la rotación del token de actualización está habilitada: Al intercambiar un token de actualización no rotativo, se emite un nuevo token de actualización rotativo y se eliminan todos los tokens no rotativos emitidos para el mismo client_id, , usuario e inquilino.
  • Cuando la rotación del token de actualización está deshabilitada: Al intercambiar un token de actualización rotativo, se emite un token de actualización no rotativo y se revoca la familia de tokens de actualización rotativos emitida para el mismo client_id, servidor de recursos, usuario e inquilino.

Configurar en el Dashboard

  1. Ve a Dashboard > Applications.
  2. Selecciona la aplicación que quieres configurar.
  3. Ve a la pestaña Settings.
  4. En rotación del token de actualización, habilita Allow Refresh Token Rotation.
    Dashboard Applications Applications Settings Tab Refresh Token Rotation
  5. Introduce el Rotation Overlap Period (en segundos) del token de actualización para contemplar el margen de tiempo entre la solicitud y la respuesta antes de que se active la detección automática de reutilización. Este período de superposición ayuda a evitar problemas de concurrencia al intercambiar varias veces el token de actualización rotativo dentro de un intervalo determinado. Durante la ventana de tolerancia, las funciones de detección de uso indebido no se aplican y se emite un nuevo token de actualización rotativo. Solo se puede reutilizar el token anterior; si se intercambia el penúltimo, se activará la detección de uso indebido.
  6. Selecciona Save Changes.
La rotación del token de actualización solo es compatible con aplicaciones conformes a OIDC que tengan habilitado el tipo de concesión Refresh Token.

Configurar con el SDK de SPA de Auth0

Puede usar el SDK de SPA de Auth0 para habilitar la rotación del token de actualización. Debe habilitar el acceso sin conexión y solicitar el scope offline_access en el SDK del cliente.
  1. Instale la versión más reciente del SDK auth0-spa-js: npm install @auth0/auth0-spa-js
  2. Habilite esta funcionalidad en el SDK estableciendo useRefreshTokens: true para comenzar a enviar el scope offline_access.
  3. Configure los ajustes de rotación del Token de actualización. Por ejemplo: 
    PATCH /api/v2/clients/{client_id}
{
  "refresh_token": {
    "rotation_type": "rotating",
    "expiration_type": "expiring",
    "token_lifetime": "2592000",
    "leeway": 3
  }
}
    AtributoDescripción
    rotation_typeCadena de texto: “rotating” o “non-rotating”
    expiration_typeCadena de texto: “expiring” o “non-expiring”
    token_lifetimeEl período de vencimiento predeterminado del token de actualización, cuando la rotación del token de actualización está habilitada, es de 30 días (2.592.000 segundos). Puede configurar hasta 1 año (31.557.600 segundos). La duración no se extiende cuando se rotan los tokens.
    leewayPermite usar el mismo token de actualización dentro del período especificado para contemplar posibles problemas de concurrencia de red que, de otro modo, invalidarían el token si el cliente intentara volver a usar el mismo token de actualización. De forma predeterminada, leeway está deshabilitado. Se puede configurar en segundos.
La rotación del token de actualización solo es compatible con aplicaciones conformes a OIDC con el tipo de grant Refresh Token habilitado.

Detección automática de reutilización

Si se usa un token previamente invalidado, se revocarán de inmediato todos los tokens de actualización emitidos desde que se emitió ese token invalidado, junto con la autorización concedida, lo que obligará al usuario a volver a autenticarse.

Más información