Passer au contenu principal
En configurant votre octroi d’application de sorte que les jetons que vous émettez n’aient qu’une courte durée de vie, vous pouvez, lorsqu’il devient nécessaire de révoquer l’accès à une ressource protégée, simplement supprimer l’octroi. À partir de ce moment, la partie qui détient le ne dispose que d’un délai limité entre la suppression de l’octroi et l’expiration du jeton pour effectuer d’autres requêtes d’API. Comme il s’agit d’une option simple (et sûre) à mettre en œuvre, nous vous recommandons de retirer l’accès à vos API et à vos autres ressources protégées en révoquant les octrois d’application. Si, par exemple, vous utilisez une application Machine-to-Machine pour accéder à votre API et qu’un partenaire appelle votre API, puis qu’à la fin de votre contrat actuel, vous et ce partenaire décidez de ne pas renouveler votre partenariat. Vous voulez maintenant retirer à ce partenaire l’accès à votre API. Le problème, toutefois, est que vous lui avez donné un jeton d’accès valide pendant un mois.
  • Que pouvez-vous faire dans cette situation ?
  • Comment pourriez-vous configurer votre environnement Auth0 pour faciliter la gestion de telles situations à l’avenir ?

Octrois d’application

Le principal enjeu dans ce scénario est la durée de validité du jeton d’accès à l’API : un mois. Par défaut, Auth0 émet des jetons d’accès valides pendant 24 heures. Définir la durée de vie du jeton à 24 heures signifie que votre partenaire doit répéter le Client Credentials Exchange (ou tout autre octroi que vous avez mis en place) pour obtenir un nouveau jeton d’accès toutes les 24 heures. Pour retirer l’accès à votre partenaire à l’expiration de votre contrat, vous pouvez simplement supprimer l’octroi d’application afin que, lorsque son jeton actuel expirera, il ne puisse pas en demander un nouveau. Vous pouvez modifier la durée de vie d’un jeton en définissant l’option token_lifetime. La durée de vie appropriée à votre cas d’utilisation varie, mais nous vous recommandons de définir cette valeur aussi courte que possible. Un bon point de départ pour déterminer cette valeur consiste à établir le délai maximal que vous jugez acceptable entre la suppression de l’octroi et la dernière utilisation de l’API.

Supprimer un octroi d’application

Pour supprimer un octroi d’application, effectuez l’appel DELETE approprié à l’ point de terminaison Supprimer un octroi d’application. Dans le cadre de cet appel, vous devrez préciser l’ID de l’octroi d’application que vous souhaitez supprimer, que vous pouvez obtenir au moyen du point de terminaison Obtenir tous les octrois d’application de la Management API. Vous pouvez aussi mettre à jour les types d’octroi d’une application dans l’.

En savoir plus