Jetons d’actualisation avec OIDC

Avec le pipeline conforme à OIDC, les :

Ne sont plus retournés lorsque le flux implicite est utilisé pour l’authentification.
Peuvent être utilisés par les applications confidentielles.
Peuvent être utilisés avec la rotation des jetons d’actualisation par les applications publiques lorsqu’elles utilisent le flux de code d’autorisation avec PKCE.
Doivent utiliser le point de terminaison /oauth/token pour obtenir de nouveaux jetons, car le point de terminaison /delegation est obsolète.

De plus, la structure des jetons d’actualisation présente certaines différences. Pour en savoir plus, consultez Jetons d’actualisation.

Ancien (délégation)

POST /delegation
Content-Type: 'application/json'
{
  "grant_type": "urn:ietf:params:oauth:grant-type:jwt-bearer",
  "client_id": "...",
  "refresh_token": "...",
  "scope": "openid profile"
}

Conforme à OIDC (point de terminaison du jeton)

POST /oauth/token
Content-Type: application/x-www-form-urlencoded
grant_type=refresh_token&refresh_token=123&client_id=123&client_secret=123&scope=openid+profile&audience=https%3A%2F%2Fapi.example.com

Les paramètres audience et client_secret sont facultatifs.
Le paramètre client_secret n’est pas nécessaire pour demander un refresh_token pour une application publique.

Les jetons d’actualisation doivent rester confidentiels pendant leur transmission et leur stockage, et ne doivent être partagés qu’entre le serveur d’autorisation et l’application à laquelle ils ont été délivrés.

En savoir plus

Flux implicite avec OIDC

Flux Resource Owner Password avec OIDC

​Ancien (délégation)

​Conforme à OIDC (point de terminaison du jeton)

​En savoir plus

Ancien (délégation)

Conforme à OIDC (point de terminaison du jeton)

En savoir plus