Révoquer des jetons d’actualisation

Vous pouvez révoquer les s’ils sont compromis. Auth0 traite la révocation d’un jeton comme si celui-ci avait pu être exposé à des acteurs malveillants. De plus, vous pouvez envisager d’activer la rotation des jetons d’actualisation afin que chaque fois qu’une application échange un jeton d’actualisation pour obtenir un nouveau jeton d’accès, un nouveau jeton d’actualisation soit également renvoyé.

Déterminez si la révocation d’un jeton supprime l’autorisation

Une autorisation permet à une application d’accéder à une ressource sur une autre entité sans exposer les identifiants de l’utilisateur. Les jetons sont émis dans le contexte d’une autorisation. Lorsqu’une autorisation est révoquée, tous les jetons émis dans le contexte de cette autorisation le sont aussi. Cependant, lorsqu’un jeton est révoqué, l’autorisation n’a pas nécessairement à l’être. Vous pouvez choisir si la révocation d’un jeton supprime l’autorisation associée dans les paramètres de votre locataire :

Accédez à Auth0 Dashboard > Tenant Settings > Advanced.
Dans la section Settings, activez ou désactivez le bouton bascule Refresh Token Revocation Deletes Grant.
- Activez le bouton bascule pour supprimer l’autorisation sous-jacente lorsque vous révoquez le jeton d’actualisation.
Chaque demande de révocation invalide tous les autres jetons fondés sur la même autorisation d’accès, ce qui révoque tous les jetons d’actualisation qui ont été émis pour le même utilisateur, la même application et la même audience.
- Désactivez le bouton bascule pour conserver l’autorisation sous-jacente lorsque vous révoquez le jeton d’actualisation.
Lorsqu’un appareil est dissocié, seul le jeton d’actualisation associé est révoqué, et l’autorisation reste intacte.

Cette fonctionnalité est désactivée par défaut pour tous les locataires créés après le 13 janvier 2021.

Révoquer un jeton d’actualisation

Vous pouvez révoquer un jeton d’actualisation de l’une des façons suivantes :

Avec Auth0 Dashboard
Avec l’Authentication API
Avec la Management API

Utilisation de l’Auth0 Dashboard

Vous pouvez utiliser l’Auth0 Dashboard pour révoquer l’accès qu’un utilisateur a autorisé pour l’application qui a émis le jeton. Cela invalide le jeton d’actualisation, ce qui revient essentiellement à révoquer le jeton lui-même.

Accédez à Dashboard > User Management > Users, puis sélectionnez le nom de l’utilisateur à consulter.
Sélectionnez l’onglet Authorized Applications. Cette page répertorie toutes les applications auxquelles l’utilisateur a accordé l’autorisation d’accès.
Pour révoquer l’accès de l’utilisateur à une application autorisée et ainsi invalider le jeton d’actualisation, cliquez sur Revoke.

Utilisation de l’Authentication API

Vous pouvez utiliser le point de terminaison Révoquer un jeton d’actualisation de l’Authentication API pour révoquer un jeton d’actualisation. Le point de terminaison permet l’accès sans le pour les applications qui ne peuvent pas le stocker de façon sécuritaire (comme les applications natives). L’application elle-même doit avoir sa méthode d’authentification (tokenEndpointAuthMethod) définie sur none. Lorsque vous envoyez une requête, l’API valide d’abord les identifiants de l’application, puis vérifie si le jeton a été émis pour l’application qui soumet la demande de révocation. Si cette validation échoue, la requête est refusée et l’application est informée de l’erreur. Ensuite, l’API invalide le jeton. L’invalidation prend effet immédiatement, et le jeton ne peut plus être utilisé après sa révocation. Chaque demande de révocation invalide tous les jetons émis pour la même autorisation d’autorisation. Pour en savoir plus, y compris sur les paramètres du corps, les schémas de réponse et les exemples de code, consultez la documentation de l’Authentication API sur le point de terminaison Révoquer un jeton d’actualisation.

Utiliser les points de terminaison des identifiants d’appareil de la Management API

Pour révoquer un jeton d’actualisation au moyen des points de terminaison des identifiants d’appareil de l’Auth0 Management API :

Obtenez l’id du jeton d’actualisation que vous voulez révoquer au moyen du point de terminaison Retrieve device credentials. Indiquez type=refresh_token et un user_id, avec un jeton d’accès contenant le scope read:device_credentials. Pour limiter les résultats, vous pouvez aussi indiquer le client_id associé au jeton (s’il est connu).
Révoquez le jeton d’actualisation au moyen du point de terminaison Delete a device credential. Indiquez un jeton d’accès contenant le scope delete:device_credentials et l’ID du jeton d’actualisation.

Utilisation des points de terminaison des jetons d’actualisation de la Management API

Les points de terminaison des jetons d’actualisation de l’Auth0 Management API sont actuellement offerts uniquement aux clients ayant un forfait Enterprise. Pour en savoir plus, consultez Tarification.

Les points de terminaison des jetons d’actualisation de la Management API remplacent les points de terminaison de la ressource /v2/device-credentials en offrant des propriétés étendues et des opérations de révocation en bloc. Vous pouvez consulter ou révoquer un jeton d’actualisation précis à l’aide des points de terminaison suivants :

Consulter les renseignements d’un jeton d’actualisation à l’aide de son ID avec le point de terminaison Get a refresh token endpoint
Révoquer un jeton d’actualisation à l’aide de son ID avec le point de terminaison Delete a refresh token endpoint
Lister tous les jetons d’actualisation d’un utilisateur avec le point de terminaison Get refresh tokens for a user endpoint
Révoquer tous les jetons d’actualisation d’un utilisateur avec le point de terminaison Delete refresh tokens for a user endpoint

Considérations et limites

Avec le flux d’autorisation des appareils, la seule façon d’obliger un appareil à se réautoriser consiste à révoquer le jeton d’actualisation qui lui est attribué. L’appareil ne sera pas obligé de se réautoriser tant que le jeton d’accès actuel n’aura pas expiré et que l’application ne tentera pas d’utiliser le jeton d’actualisation révoqué. Pour en savoir plus, consultez Dissocier des appareils des utilisateurs.
Lorsque vous utilisez la rotation des jetons d’actualisation, si un jeton précédemment invalidé est utilisé, l’ensemble des jetons d’actualisation émis depuis l’émission de ce jeton sera immédiatement révoqué, ce qui obligera l’utilisateur final à s’authentifier de nouveau.
Les opérations de révocation (DELETE) des jetons d’actualisation s’exécutent de façon asynchrone et suivent un modèle de cohérence éventuelle.
Les jetons d’actualisation émis à compter du 21-09-2023 (22-02-2024 pour les locataires de la région US-3) contiennent la propriété d’identifiant de session (session_id) avec la valeur appropriée. Les jetons d’actualisation émis avant cette date contiennent cette propriété avec une valeur null.

Pour en savoir plus sur les limites des jetons d’actualisation, consultez Limites des jetons d’actualisation.

​Déterminez si la révocation d’un jeton supprime l’autorisation

​Révoquer un jeton d’actualisation

​Utilisation de l’Auth0 Dashboard

​Utilisation de l’Authentication API

​Utiliser les points de terminaison des identifiants d’appareil de la Management API

​Utilisation des points de terminaison des jetons d’actualisation de la Management API

​Considérations et limites

Déterminez si la révocation d’un jeton supprime l’autorisation

Révoquer un jeton d’actualisation

Utilisation de l’Auth0 Dashboard

Utilisation de l’Authentication API

Utiliser les points de terminaison des identifiants d’appareil de la Management API

Utilisation des points de terminaison des jetons d’actualisation de la Management API

Considérations et limites