Passer au contenu principal
Vous pouvez modifier le d’une application à l’aide du ou de la d’Auth0. Lorsque vous effectuez la rotation d’un Secret client, vous devez mettre à jour toutes les applications autorisées avec la nouvelle valeur.
Les Secrets client ne doivent pas être stockés dans des applications clientes publiques. Pour en savoir plus, consultez Applications confidentielles et applications publiques.
Les nouveaux secrets peuvent prendre jusqu’à trente secondes avant d’être pris en compte pendant la rotation. Pour réduire au minimum les interruptions, nous vous recommandons d’enregistrer le nouveau Secret client dans le code ou la configuration système de votre application comme solution de rechange à l’ancien secret. Ainsi, si la requête de l’application cliente ne fonctionne pas avec l’ancien secret, votre application utilisera le nouveau secret.Les secrets peuvent être conservés dans une liste (ou une structure semblable) jusqu’à ce qu’ils ne soient plus nécessaires. Une fois que vous êtes certain qu’un ancien secret est obsolète, vous pouvez supprimer sa valeur du code de votre application.

Utiliser l’Auth0 Dashboard

  1. Dans l’Auth0 Dashboard, accédez à Applications > Applications, puis sélectionnez le nom de l’application à consulter.
    Liste des applications dans l’Auth0 Dashboard
  2. Faites défiler jusqu’au bas de la page Settings, repérez la section Danger Zone, sélectionnez Rotate, puis confirmez.
  3. Revenez en haut de la page, puis ouvrez l’onglet Credentials.
  4. Affichez votre nouveau secret en repérant Client Secret et en sélectionnant l’icône en forme d’œil.
    Informations de base de l’onglet des paramètres de l’application dans l’Auth0 Dashboard
  5. Mettez à jour les applications autorisées avec la nouvelle valeur.

Utiliser la Management API

  1. Appelez le point de terminaison Rotate a client secret de la Management API. Remplacez les valeurs de substitution {yourClientId} et MGMT_API_ACCESS_TOKEN par votre ID client et votre jeton d’accès de la Management API, respectivement.
ValeurDescription
{yourClientId}L’ID de l’application à mettre à jour.
MGMT_API_ACCESS_TOKENJetons d’accès pour la Management API avec le scope update:client_keys.
  1. Mettez à jour les applications autorisées avec la nouvelle valeur.

Définir un secret client personnalisé

Vous pouvez utiliser le point de terminaison de la Management API Mettre à jour une application pour définir manuellement un secret client au lieu de demander une rotation vers un secret généré automatiquement. Votre application est configurée à l’avance avec le futur secret comme solution de secours, avant la rotation effective. 
   curl --request PATCH \
   --url https://{TenantDomain}/api/v2/clients/{ClientID} \
   --header 'Authorization: Bearer {AccessToken}' \
   --header 'Content-Type: application/json' \
   --data '{
      "client_secret": "{CustomClientSecret}"
      }'

En savoir plus