Passer au contenu principal
Auth0 émet un ou un en réponse à une demande d’authentification. Vous pouvez utiliser des jetons d’accès pour effectuer des appels authentifiés à une API sécurisée, tandis que le jeton d’identité contient des attributs du profil utilisateur représentés sous forme de revendications. Les deux sont des (JWT) et ont donc une date d’expiration indiquée à l’aide de la revendication exp, ainsi que des mesures de sécurité, comme des signatures. En général, un utilisateur a besoin d’un nouveau jeton d’accès lorsqu’il accède à une ressource pour la première fois, ou après l’expiration du jeton d’accès précédent qui lui a été accordé. Un est un artefact d’identification qu’OAuth peut utiliser pour obtenir un nouveau jeton d’accès sans intervention de l’utilisateur. Cela permet au de raccourcir la durée de vie du jeton d’accès à des fins de sécurité, sans impliquer l’utilisateur lorsque le jeton d’accès expire. Vous pouvez demander de nouveaux jetons d’accès jusqu’à ce que le jeton d’actualisation soit sur la DenyList. Il est important de maintenir le nombre de jetons d’actualisation à un niveau raisonnable et gérable afin de pouvoir gérer ces identifiants de façon sécuritaire. Les applications doivent stocker les jetons d’actualisation de manière sécurisée, car ils permettent essentiellement à un utilisateur de rester authentifié indéfiniment.

Accès hors ligne

Si vous voulez permettre aux utilisateurs d’obtenir des jetons d’actualisation hors ligne, vous pouvez activer le commutateur Allow Offline Access dans les paramètres de l’API.
Vous pouvez accroître la sécurité en utilisant la rotation des jetons d’actualisation, qui émet un nouveau jeton d’actualisation et invalide le jeton précédent à chaque demande faite à Auth0 pour un nouveau jeton d’accès. La rotation du jeton d’actualisation réduit le risque qu’un jeton d’actualisation soit compromis.

Limites

  • Auth0 limite à 200 le nombre de jetons d’actualisation actifs par utilisateur et par application. Cette limite s’applique uniquement aux jetons actifs. Si la limite est atteinte et qu’un nouveau jeton d’actualisation est créé, le système révoque et supprime le plus ancien jeton de cet utilisateur pour cette application. Les jetons révoqués et expirés ne sont pas comptabilisés dans cette limite. Pour consulter nos recommandations et nos bonnes pratiques afin d’éviter un nombre excessif de jetons, lisez Bonnes pratiques relatives aux jetons.
  • Après un échange de jeton d’actualisation, Auth0 ne met pas à jour les propriétés event.refresh_token.device.last* pour les jetons sans expiration. Pour savoir comment activer l’expiration des jetons d’actualisation, lisez Configurer l’expiration des jetons d’actualisation.

Activer l’indicateur OIDC

Le comportement du jeton d’actualisation s’applique aux applications conformes à OIDC. Vous pouvez configurer une application pour qu’elle soit conforme à OIDC de l’une des façons suivantes :
  1. Activer l’indicateur OIDC Conformant pour une application.
  2. Transmettre la revendication audience au point de terminaison /authorize de l’Authentication API.

Prise en charge des SDK

Pour les applications web

Les SDK Auth0 prennent en charge les jetons d’actualisation, notamment :
  • Node.js
  • ASP.NET Core
  • PHP
  • Java
Pour consulter la liste complète, reportez-vous au guide de démarrage rapide.

Pour les applications monopage

Offrir une authentification sécurisée dans les SPA présente plusieurs défis selon le cas d’utilisation de votre application. De nouvelles mesures de protection de la vie privée dans les navigateurs, comme Intelligent Tracking Prevention (ITP), nuisent à l’expérience utilisateur dans les SPA en bloquant l’accès aux témoins tiers. Auth0 recommande d’utiliser la , qui permet d’utiliser les jetons d’actualisation de façon sécurisée dans les SPA tout en offrant aux utilisateurs finaux un accès fluide aux ressources, sans les perturbations de l’expérience utilisateur causées par des technologies de protection de la vie privée des navigateurs comme ITP.

Pour les applications natives/mobiles

Pour les applications natives, les jetons d’actualisation améliorent considérablement l’expérience d’authentification. L’utilisateur n’a besoin de s’authentifier qu’une seule fois, au moyen du processus d’authentification Web. Par la suite, la réauthentification peut se faire sans intervention de l’utilisateur, à l’aide du jeton d’actualisation. Pour en savoir plus sur l’utilisation des jetons d’actualisation avec nos SDK mobiles, consultez :

En savoir plus