J'ai des questions liées à clients non interactifs comme applications backend basées sur le flux oauth2.Quand demander un nouveau access_token pour les clients non interactifs dans le flux oauth2?
https://auth0.com/docs/api-auth/grant/client-credentials
Conformément à oauth2 pour les clients non interactifs, le flux est:
- L'application authentifie avec Auth0 en utilisant son identifiant client et secret client.
- Auth0 valide cette information et renvoie un access_token.
- L'application peut utiliser access_token pour appeler l'API pour elle-même.
base sur ce point, mes questions sont les suivantes:
- applications backend doivent stocker les access_token demander ou localement une nouvelle access_token pour le même client chaque fois que le client utilise l'application?
- Si access_token est stocké localement, que se passe-t-il avec l'heure d'expiration?
- Le paramètre Access_token pour les clients non interactifs devrait avoir le même délai d'expiration que le paramètre access_token pour les utilisateurs interactifs (connexion Web)?
Merci @arcseldon. (1) Quand vous dites: "si les portées changent fréquemment", vous voulez dire les exigences du projet business & security ou les portées create-read-write de la réponse json (https://www.oauth.com/oauth2-servers/access-tokens/access-token-réponse /)? (2) Dans un environnement d'entreprise stable, les exigences des projets de sécurité ne doivent pas changer afin de ne pas affecter tous les clients d'application des points de terminaison de sécurité. Donc, en supposant une plate-forme de sécurité stable, un access_token avec un temps d'expiration élevé serait valide? Ou pour des raisons de sécurité, access_token devrait être renouvelé lorsqu'il expire (fréquemment)? Merci – JRichardsz
Salut. Ici, je précise si vous avez des droits d'autorisation "fixes" - par exemple. vos étendues assignées à l'API sont quelque chose comme 'read: book write: book' alors une expiration plus longue est appropriée (toutes choses étant égales par ailleurs - par exemple un client de confiance, etc.). Toutefois, si vous savez que les droits d'autorisation sont susceptibles d'être modifiés et que vous souhaitez que votre client non interactif prenne en compte les nouvelles modifications, une expiration plus courte pourrait être plus appropriée, par exemple. vous ajoutez "delete book" comme portée et vous voulez que les clients non interactifs existants sélectionnent cette modification - depuis exp. est court ils renouvellent le jeton d'accès plus tôt. – arcseldon