Authentification
Gérer les utilisateurs
Personnaliser
Auth0 AI
PlateformeSécurité du jeton d’identité
Assurez-vous de valider les ID tokens avant d’utiliser les informations qu’ils contiennent. Vous pouvez utiliser une bibliothèque pour vous aider dans cette tâche.
ID Tokens
Décrit comment les ID Tokens sont utilisés dans l’authentification par jeton pour mettre en cache les informations du profil utilisateur et les fournir à une application cliente.
sont utilisés dans l’authentification par jeton pour mettre en cache les informations du profil utilisateur et les fournir à une application cliente, ce qui améliore les performances et l’expérience utilisateur. L’application reçoit un ID token une fois que l’utilisateur s’est authentifié avec succès, puis l’utilise pour en extraire les informations sur l’utilisateur, qu’elle peut ensuite exploiter pour personnaliser son expérience.
Par exemple, supposons que vous ayez une application Web classique que vous enregistrez auprès d’Auth0 et que vous configurez pour permettre aux utilisateurs de se connecter avec Google. Une fois l’utilisateur connecté, utilisez l’ID token pour recueillir des informations comme le nom et l’adresse de courriel, que vous pourrez ensuite utiliser pour générer et envoyer automatiquement un courriel de bienvenue personnalisé.
Les ID Tokens ne doivent jamais être utilisés pour obtenir un accès direct à des API ni pour prendre des décisions d’autorisation.
Comme pour les autres JWT, vous devriez suivre les pratiques exemplaires d’utilisation des jetons lorsque vous utilisez et stockez des ID tokens.
La sécurisation des applications qui effectuent des appels d’API s’accompagne de ses propres enjeux. Vous devrez vous assurer que les jetons et les autres données sensibles ne sont pas vulnérables aux scripts intersites (XSS) et qu’ils ne peuvent pas être lus par du JavaScript malveillant.
Par défaut, un jeton d’identité est valide pendant 36000 secondes (10 heures). Si la sécurité vous préoccupe, vous pouvez réduire sa durée de validité, tout en gardant à l’esprit que l’un des objectifs du jeton est d’améliorer l’expérience utilisateur en mettant en cache les informations de l’utilisateur. Consultez Update ID Token Lifetime pour plus de détails.