Auth0 id token expiration

peut être la cible d’abus en cas de fuite, car elle peut être utilisée pour acquérir de nouveaux . Pour atténuer ce risque, Auth0 recommande d’utiliser la détection automatique de réutilisation et . La rotation du jeton d’actualisation émet un jeton d’actualisation qui expire après une durée de vie prédéfinie. Après expiration, l’utilisateur reçoit un nouveau jeton d’actualisation de la même famille, ou des jetons d’actualisation qui partagent un ID de famille, ou une nouvelle paire jeton d’accès/jeton d’actualisation. Pour en savoir plus, consultez Actualiser la rotation des jetons.

Vous pouvez activer et configurer deux paramètres de durée de vie du jeton d’actualisation, l’expiration maximale et l’expiration de l’actualisation inactive, à l’aide de l’option ou de l’option Auth0. Vous pouvez utiliser une combinaison de périodes d’expiration d’actualisation maximale et d’actualisation inactive pour créer un équilibre entre la sécurité et l’expérience utilisateur adapté aux besoins de votre entreprise.

• Durée de vie maximale : Définir un jeton d’actualisation ou une famille de jetons d’actualisation durée de vie après laquelle l’utilisateur doit s’authentifier à nouveau avant de recevoir un nouveau jeton d’accès. Si vous désactivez ce paramètre, la durée de vie maximale sera indéfinie.

• Durée de vie d’inactivité : Définissez la durée de vie d’inactivité des jetons d’actualisation émis pour qu’elle expire si l’utilisateur n’est pas actif dans votre application pendant une période spécifiée.

1. , accédez au tableau de bord > applications.

2. Sélectionnez l’application que vous souhaitez configurer.

3. Allez dans l’onglet Paramètres.

4. Sous Expiration du jeton d’actualisation , activez l’option Définir la durée de vie du jeton d’actualisation inactif . Lorsqu’il est activé, un jeton d’actualisation expire en fonction de la durée de vie du jeton d’actualisation inactif, après quoi le jeton ne peut plus être utilisé. Si la rotation est activée, un La durée de vie d’expiration doit être définie.

   La durée de vie du jeton d’actualisation rotatif est définie lors de la création et n’est pas modifiée, même dans le cas d’un échange.

5. Entrez la durée de vie du jeton d’actualisation inactive en secondes. Le jeton d’actualisation expire après l’intervalle spécifié et ne peut plus être utilisé pour obtenir un nouveau jeton d’accès. Lorsque la rotation est activée, la durée de vie du jeton d’actualisation inactive s’applique également à la possibilité d’obtenir de nouveaux jetons.

   Valeur à vie
   Valeur par défaut	2 592 000 secondes (30 jours)
   Minimum	1 seconde
   Maximum	31 557 600 secondes (1 an)

   Le calcul pour 1 an équivaut à 365,25 jours pour tenir compte des années bissextiles.

6. Activez l’option Définir la durée de vie maximale du jeton d’actualisation . Lorsqu’il est activé, un jeton d’actualisation expire en fonction de la durée de vie maximale spécifiée du jeton d’actualisation, après quoi le jeton ne peut plus être utilisé.

7. Entrez la durée de vie maximale du jeton d’actualisation en secondes. Si le jeton d’actualisation n’est pas échangé dans l’intervalle spécifié, le jeton d’actualisation expire et ne peut plus être utilisé pour obtenir un nouveau jeton d’accès. La période d’expiration est renouvelée chaque fois que le jeton d’actualisation est remplacé par un nouveau jeton d’accès dans l’intervalle.

   Valeur à vie
   Minimum	1 seconde
   Maximum	31 557 600 secondes (1 an)

8. Sélectionnez Enregistrer les modifications .

Vous pouvez configurer les paramètres de durée de vie maximale et inactive dans la charge utile du point de terminaison de l’API de gestion /api/v2/clients/{id}. Voici un exemple qui définit la durée d’expiration d’un jeton d’actualisation non rotatif :