Rotation des secrets client

Sur cette page

Utiliser le Dashboard
Utiliser Management API
Définir un secret client personnalisé
En savoir plus

Vous pouvez modifier le secret client d’une application à l’aide de l’ ou du . Lorsque vous faites pivoter un secret client, vous devez mettre à jour toutes les applications autorisées avec la nouvelle valeur.

applications clients publiques. Pour en savoir plus, lisez Applications confidentielles et publiques

La rotation des nouveaux secrets peut être retardée de trente secondes au maximum. Pour minimiser les temps d’arrêt, nous vous suggérons de stocker le nouveau secret client dans le code de votre application ou dans la configuration du système comme solution de secours au secret précédent. De cette manière, si la demande de l’application cliente ne fonctionne pas avec l’ancien secret, votre application utilisera le nouveau secret.Les secrets peuvent être stockés dans une liste (ou structure similaire) jusqu’à ce qu’ils ne soient plus nécessaires. Si vous avez la certitude qu’un ancien secret est obsolète, vous pouvez supprimer sa valeur du code de votre application.

Utiliser le Dashboard

Dans l’Auth0 Dashboard, accédez à Applications > Applications, puis sélectionnez le nom de l’application à afficher.
Faites défiler en bas de la page Paramètres, localisez la Zone danger, sélectionnez Rotation, puis confirmez.
Faites défiler la page jusqu’en haut et passez à l’onglet Identifiants.
Affichez votre nouveau secret en localisant Secret client et en sélectionnant l’icône de l’œil.
Mettre à jour les applications autorisées avec la nouvelle valeur.

Utiliser Management API

Appeler le point de terminaison de Management API Faire pivoter un secret client. Remplacer les valeurs de l’espace réservé YOUR_CLIENT_ID et MGMT_API_ACCESS_TOKEN par votre ID client et le jeton d’accès à Management API, respectivement.
curl --request POST \ --url 'https://{yourDomain}/api/v2/clients/%7ByourClientId%7D/rotate-secret' \ --header 'authorization: Bearer {yourMgmtApiAccessToken}'

Valeur	Description
`VOTRE_ID_CLIENT`	Identifiant de l’application à mettre à jour.
`MGMT_API_ACCESS_TOKEN`	Jetons d’accès à Management API avec la permission `update:client_keys`.

Mettre à jour les applications autorisées avec la nouvelle valeur.

Définir un secret client personnalisé

Vous pouvez utiliser le point de terminaison de Management API Mettre à jour un client pour définir manuellement un secret client au lieu de demander une rotation vers un secret généré automatiquement. Votre application est configurée avec le futur secret comme remplaçant avant la rotation réelle.

{
    curl --request PATCH \
    --url https://{TenantDomain}/api/v2/clients/{ClientID} \
    --header 'Authorization: Bearer {AccessToken}' \
    --header 'Content-Type: application/json' \
    --data '{
        "client_secret": "{CustomClientSecret}"
        }'
}

En savoir plus

Rotation des identifiants

Activer la prise en charge des liens vers les applications Android

⌘I

Intégration d’Auth0

Apprendre les bases

Configuration d’Auth0

Planification et conception

Auth0 AI

Rotation des secrets client

Utiliser le Dashboard

Utiliser Management API

Définir un secret client personnalisé

En savoir plus

Intégration d’Auth0

Apprendre les bases

Configuration d’Auth0

Planification et conception

Auth0 AI

​Utiliser le Dashboard

​Utiliser Management API

​Définir un secret client personnalisé

​En savoir plus

Utiliser le Dashboard

Utiliser Management API

Définir un secret client personnalisé

En savoir plus