Skip to main content
Il y a quelque temps, nous avons modifié le processus d’obtention d’un jeton Auth0 Management APIv2. Cet article explique ce qui a changé, pourquoi ce changement a été apporté et comment le contourner (ce qui n’est pas recommandé).

Ce qui a changé et pourquoi

L’expérience utilisateur

Jusqu’à récemment, vous pouviez générer un jeton pour la Management API v2 directement à partir de l’explorateur de la . Vous sélectionniez les scopes selon le point de terminaison que vous vouliez appeler, puis vous obteniez un jeton à même cette page. Cette méthode était très simple, mais elle était aussi peu sécuritaire. Nous l’avons donc modifiée. La nouvelle méthode utilise le flux des informations d’identification du client. Pour savoir comment utiliser le nouveau processus, consultez Jetons d’accès de la Management API.

Pourquoi ce changement

Pour générer le jeton, le Management API devait avoir accès à votre global (utilisé pour signer le jeton). Il s’agit d’une information qui ne devrait pas être exposée dans les navigateurs Web. De plus, l’API Explorer n’a aucun moyen de gérer l’autorisation. Cela signifie que si un utilisateur pouvait se connecter et accéder à l’API Explorer, il pourrait générer un jeton avec n’importe quel scope, même s’il n’était pas autorisé à disposer de ce scope. La nouvelle implémentation ne présente pas ce type de risque. Une fois la configuration initiale terminée, vous pouvez obtenir un jeton soit en accédant à l’, soit en envoyant une simple requête POST au point de terminaison /oauth/token de notre Authentication API. Toutefois, en ce qui concerne le processus manuel, nous comprenons bien que devoir passer d’un écran à l’autre n’offre pas toujours la meilleure expérience utilisateur. Nous cherchons donc des moyens de rendre ce nouveau flux plus intuitif.

La période de validité

Avec le flux précédent, les jetons n’expiraient jamais. Avec le nouveau flux, tous les jetons de la Management API v2 expirent par défaut après 24 heures.

Pourquoi ce changement

Avoir un jeton qui n’expire jamais peut être très risqué si un attaquant met la main dessus. Si le jeton expire après quelques heures, l’attaquant ne dispose que d’un court laps de temps pour accéder à vos ressources protégées. Pour obtenir un jeton, vous devez suivre uniquement le processus décrit dans jeton d’accès de la Management API.