Accueil > OpenID Connect OAuth Server par DnC > Développer > Révoquer un jeton

Révoquer un jeton

Le sujet est couvert par le document RFC 7009 OAuth 2.0 Token Revocation.
Ce document propose un point d’extrémité supplémentaire pour le serveur d’autorisation OAuth, qui permet aux clients d’avertir le serveur d’autorisation qu’un jeton de rafraîchissement ou d’accès précédemment obtenu n’est plus nécessaire. Cela permet au serveur d’autorisation de nettoyer les données de sécurité. Une demande de révocation invalidera le jeton en question et, le cas échéant, d’autres jetons basés sur la même autorisation.

Point d’extrémité de Révocation

OAuth Server by DnC expose le point de terminaison ’revoke’ pour la révocation d’un jeton d’accès ou de rafraîchissement :

https://oa.dnc.global/oauth/revoke.php

Forme de la demande de Révocation

La demande ne doit être effectuée que par la méthode POST.
Les paramètres suivants doivent être postés :
- token (obligatoire)
- token_type_hint (optionnel) : ’access_token’ ou ’refresh_token’. Peut être manquant ou même erroné, le serveur recherchera le token parmi tous les types possibles.

Le client inclut également ses informations d’authentification telles que décrites à la section 2.3. du document [RFC6749].

Exemple de requête :

POST /revoke HTTP/1.1
    Host: oa.dnc.global
    Content-Type: application/x-www-form-urlencoded
    Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW

    token=45ghiukldjahdnhzdauz&token_type_hint=refresh_token

En cas de succès ou si le jeton est invalide, le serveur retourne une réponse HTTP 200.

Remarque : les jetons non valides ne provoquent pas de réponse d’erreur puisque l’objet de la demande de révocation, invalider le jeton désigné, est déjà atteint.

En cas d’échec, le corps de la réponse contient :

index type valeur
page JSON Array error : titre de l’erreur,
error_description : description de l’erreur

La réponse HTTP ainsi que les valeurs de error et error_description sont données par le tableau suivant :

Réponse error
titre de l’erreur
error_description
description de l’erreur
Explication
400 invalid_request The request method must be POST when revoking an access token La méthode de la demande doit être POST lorsque vous révoquez un jeton d’accès
400 invalid_request Token type hint must be either "access_token" or "refresh_token" Le type de jeton doit être "access_token" ou "refresh_token"
400 invalid_request Missing token parameter to revoke Il manque le type du jeton à révoquer