Saltar al contenido principal
Puede revocar los si se ven comprometidos. Auth0 gestiona la revocación de tokens como si el token pudiera haber quedado expuesto a actores maliciosos. Además, puede considerar habilitar la rotación de tokens de actualización para que, cada vez que un cliente intercambie un token de actualización para obtener un nuevo token de acceso, también se devuelva un nuevo token de actualización.

Elija si la revocación de tokens elimina las concesiones

Una concesión proporciona a una aplicación acceso a un recurso de otra entidad sin exponer las credenciales del usuario. Los tokens se emiten en el contexto de una concesión. Cuando se revoca una concesión, también se revocan todos los tokens emitidos en el contexto de esa concesión. Sin embargo, cuando se revoca un token, no es necesario revocar también la concesión. Puede elegir si la revocación de tokens elimina la concesión asociada en la configuración de su inquilino:
  1. Vaya a Dashboard > Tenant Settings > Advanced.
  2. En la sección Settings, habilite o deshabilite el interruptor Refresh Token Revocation Deletes Grant.
    • Habilite el interruptor para eliminar la concesión subyacente cuando revoque el token de actualización.
    Cada solicitud de revocación invalida todos los demás tokens basados en la misma concesión de autorización, lo que revoca todos los tokens de actualización emitidos para el mismo usuario, aplicación y audiencia.
    • Deshabilite el interruptor para conservar la concesión subyacente cuando revoque el token de actualización.
    Cuando se desvincula un dispositivo, solo se revoca el token de actualización asociado, y la concesión permanece intacta.
Esta función está deshabilitada de forma predeterminada para todos los inquilinos creados después del 13 de enero de 2021.

Revocar un token de actualización

Puede revocar un token de actualización de las siguientes formas:

Uso del Auth0 Dashboard

Puede usar el Auth0 Dashboard para revocar el acceso autorizado de un usuario a la aplicación que emitió el token. Esto invalida el Token de actualización, lo cual es funcionalmente equivalente a revocar el propio token.
  1. Vaya a Dashboard > User Management > Users y seleccione el nombre del usuario para ver sus detalles.
  2. Seleccione la pestaña Authorized Applications. Esta página muestra todas las aplicaciones a las que el usuario ha autorizado el acceso.
  3. Para revocar el acceso del usuario a una aplicación autorizada y, con ello, invalidar el Token de actualización, haga clic en Revoke.

Uso de la Authentication API

Puede usar el endpoint para revocar un token de actualización de la Authentication API para revocar un token de actualización. El endpoint permite el acceso sin el en aplicaciones que no pueden mantenerlo protegido (como las aplicaciones nativas). La propia aplicación debe tener su método de autenticación (tokenEndpointAuthMethod) configurado como none. Cuando realiza una solicitud, la API primero valida las credenciales de la aplicación y luego verifica si el token se emitió para la aplicación que hace la solicitud de revocación. Si esta validación falla, la solicitud se rechaza y se informa a la aplicación del error. A continuación, la API invalida el token. La invalidación se realiza de inmediato y el token no puede volver a usarse después de la revocación. Cada solicitud de revocación invalida todos los tokens que se han emitido para la misma concesión de autorización. Para obtener más información, incluidos los parámetros del cuerpo, los esquemas de respuesta y ejemplos de código, consulte la documentación de la Authentication API del endpoint para revocar un token de actualización.

Uso de los endpoints de credenciales de dispositivo de Management API

Para revocar un token de actualización mediante los endpoints de credenciales de dispositivo de Auth0 Management API:
  1. Obtén el id del token de actualización que quieres revocar mediante el endpoint Retrieve device credentials. Especifica type=refresh_token y un user_id, con un token de acceso que contenga el scope read:device_credentials. Para limitar los resultados, también puedes especificar el client_id asociado al token (si se conoce).
  2. Revoca el token de actualización mediante el endpoint Delete a device credential. Especifica un token de acceso que contenga el scope delete:device_credentials y el ID del token de actualización.

Uso de los endpoints de tokens de actualización de la Management API

Los endpoints de tokens de actualización de la Auth0 Management API actualmente solo están disponibles para clientes con planes Enterprise. Para obtener más información, consulta Pricing.
Los endpoints de tokens de actualización de la Management API sustituyen a los endpoints del recurso /v2/device-credentials y ofrecen propiedades ampliadas y operaciones de revocación masiva. Puedes consultar o revocar un Token de actualización específico con los siguientes endpoints:

Consideraciones y limitaciones

  • Con el flujo de autorización de dispositivos, la única forma de forzar que un dispositivo se vuelva a autorizar es revocar el Token de actualización asignado al dispositivo. No se forzará al dispositivo a volver a autorizarse hasta que el Token de acceso actual caduque y la aplicación intente usar el Token de actualización revocado. Para obtener más información, consulte Desvincular dispositivos de los usuarios.
  • Al usar la rotación de tokens de actualización, si se usa un token invalidado previamente, se revocará de inmediato todo el conjunto de tokens de actualización emitidos desde que se emitió ese token invalidado, lo que obligará al usuario final a volver a autenticarse.
  • Las operaciones de revocación (DELETE) de tokens de actualización se ejecutan de forma asíncrona y tienen consistencia eventual.
  • Los tokens de actualización emitidos el 21-09-2023 o después (22-02-2024 para los inquilinos de la región US-3) contienen la propiedad de identificador de sesión (session_id) con el valor correspondiente. Los tokens de actualización emitidos antes de esta fecha contienen esta propiedad con un valor null.
Para obtener más información sobre las limitaciones de los tokens de actualización, consulte Limitaciones de los tokens de actualización.