Jetons d'actualisation
Les jetons d'actualisation permettent d'octroyer un accès à long terme aux API. La durée de vie des jetons d'accès doit être aussi courte que possible. Il est néanmoins préférable d'épargner à l'utilisateur des allers-retours répétés vers le serveur d'authentification pour demander de nouveaux jetons d'accès.
Les jetons d'actualisation permettent de demander de nouveaux jetons d'accès sans intervention de l'utilisateur. Chaque fois que le client actualise un jeton, il doit passer un appel authentifié au serveur d'authentification. Cet appel permet de déterminer si le jeton d'actualisation est toujours valide ou s'il a été révoqué.
Les jetons d'actualisation sont pris en charge dans les flux Code d'autorisation et Mot de passe du propriétaire de la ressource. Pour demander un jeton d'actualisation, le client doit inclure la portée offline_access dans la demande de jeton et doit être autorisé à utiliser cette portée.
Les jetons d'actualisation expirent au bout de 30 jours. Les jetons d'actualisation ont une durée de vie glissante de 15 jours. La durée de vie d'un jeton d'actualisation est renouvelée pour la durée spécifiée dans le paramètre SlidingRefreshTokenLifetime. Au bout de 30 jours, le client doit à nouveau s'authentifier, quelle que soit la durée de validité du jeton d'actualisation le plus récent acquis par l'application.
Pour obtenir un nouveau jeton d'accès à partir d'un jeton d'actualisation, envoyez les informations suivantes :
URL
: https://<server>/AuthServices/Auth/connect/tokenVerbe HTTP
: POSTParamètres :
- client_id: <client_id>
- client_secret: <secret>
- grant_type: refresh_token
- refresh_token: <current valid refresh token>
Voici une demande et une réponse Postman pour l'autorisation refresh_token :
