Passer au contenu principal
Pour obtenir un jeton d’actualisation, vous devez inclure la permissionoffline_access lorsque vous lancez une demande d’authentification via le point de terminaison /autorize. Assurez-vous d’initier l’accès hors ligne dans votre API. Pour en savoir plus, veuillez consulter Paramètres de l’API. Par exemple, si vous utilisez le Flux de code d’autorisation, la demande d’authentification ressemblerait à ce qui suit : 
https://{yourDomain}/authorize?
    audience={API_AUDIENCE}&
    scope=offline_access&
    response_type=code&
    client_id={yourClientId}&
    redirect_uri={https://yourApp/callback}&
    state={OPAQUE_VALUE}
Le jeton d’actualisation est stocké dans la session. Ensuite, lorsque la session doit être actualisée (par exemple, après l’expiration d’un délai préconfiguré ou lorsqu’une opération sensible est tentée), l’application utilise le jeton d’actualisation du système dorsal pour obtenir un nouveau jeton d’ID, en faisant appel au point de terminaison /oauth/token avec grant_type=refresh_token. Une fois que l’utilisateur a bien été authentifié, l’application sera redirigée vers le redirect_uri, avec un code dans le cadre de l’URL : {https://yourApp/callback}?code=BPPLN3Z4qCTvSNOy. Vous pouvez échanger ce code avec un jeton d’accès en utilisant le point de terminaison /oauth/token. 
curl --request POST \
  --url 'https://{yourDomain}/oauth/token' \
  --header 'content-type: application/x-www-form-urlencoded' \
  --data grant_type=authorization_code \
  --data 'client_id={yourClientId}' \
  --data 'client_secret={yourClientSecret}' \
  --data 'code={yourAuthorizationCode}' \
  --data 'redirect_uri={https://yourApp/callback}'
La réponse doit contenir un jeton d’accès et un jeton d’actualisation. 
{
      "access_token": "eyJz93a...k4laUWw",
      "refresh_token": "GEbRxBN...edjnXbL",
      "token_type": "Bearer"
    }
Lorsque vous sollicitez un jeton d’actualisation pour une application mobile en utilisant le client natif correspondant (qui est public), il n’est pas nécessaire alors d’inclure le paramètre client_secret dans la demande, car celui-ci n’est exigé que pour les demandes effectuées par des applications confidentielles. Les jetons d’actualisation doivent être stockés de manière sécurisée par une application, car ils permettent à un utilisateur de rester authentifié quasiment indéfiniment. Pour obtenir des informations supplémentaires sur la mise en œuvre de cette procédure à l’aide du flux de code d’autorisation, veuillez consulter notre tutoriel intitulé Appel API à l’aide du flux de code d’autorisation. Pour d’autres autorisations, veuilles consulter Flux d’authentification et d’autorisation.

En savoir plus

I