Passer au contenu principal
Configurer votre autorisation d’application de façon à ce que les jetons que vous émettez ne soient valides que pour une courte période signifie que, lorsque vient le moment de révoquer l’accès à une ressource protégée, vous pouvez simplement supprimer l’autorisation. À ce moment‑là, le tiers qui possède le ne dispose que d’une période limitée entre le moment où vous supprimez l’autorisation et l’expiration du jeton pour effectuer des requêtes supplémentaires à l’API. Comme il s’agit d’une option simple (et sûre) à mettre en œuvre, nous vous recommandons de refuser l’accès à vos API et à vos autres ressources protégées en révoquant les autorisations d’application. Si, par exemple, vous utilisez une application Machine-to-Machine pour accéder à votre API et que vous avez un partenaire qui appelle votre API, à la fin de votre contrat actuel, vous et votre partenaire décidez de ne pas renouveler votre partenariat. Vous souhaitez maintenant retirer à votre partenaire l’accès à votre API. Le problème, toutefois, est que vous avez donné à votre partenaire un jeton d’accès valide pendant un mois.
  • Que pouvez‑vous faire dans cette situation ?
  • Comment pourriez‑vous configurer votre environnement Auth0 pour rendre de telles situations plus faciles à gérer à l’avenir ?

Autorisations d’application

Le principal problème dans ce scénario est la durée de validité du jeton d’accès à l’API : un mois. Par défaut, Auth0 émet des jetons d’accès valides pendant 24 heures. Définir la durée de vie du jeton à 24 heures signifie que votre partenaire doit répéter l’échange d’informations d’identification du client (ou tout autre grant que vous avez implémenté) pour obtenir un nouveau jeton d’accès toutes les 24 heures. Pour refuser l’accès à votre partenaire à l’échéance de votre contrat, vous pouvez simplement supprimer l’autorisation de l’application, de sorte qu’à l’expiration de leur jeton existant, ils ne puissent pas en demander un nouveau. Vous pouvez modifier la durée de vie d’un jeton en définissant l’option token_lifetime. La durée de vie spécifique appropriée à votre cas d’utilisation variera, mais nous recommandons de définir cette valeur aussi courte que possible. Un bon point de départ pour déterminer cette valeur est la période que vous jugez acceptable pour le délai entre la suppression de l’autorisation et la dernière utilisation de l’API.

Supprimer une autorisation d’Application

Pour supprimer une autorisation d’Application, effectuez l’appel DELETE approprié vers la , au point de terminaison Delete an Application Grant. Dans le cadre de cet appel, vous devez indiquer l’ID de l’autorisation d’Application que vous voulez supprimer, que vous pouvez obtenir via la Management API, au point de terminaison Get all Application Grants. Vous pouvez aussi mettre à jour les types d’autorisation d’une Application à partir de l’.

En savoir plus