Utiliser le Refresh Token
Cet article décrit l'utilisation du Refresh Token chez Inqom, comment renouveler un access token et gérer correctement la rotation des tokens
Lorsqu'un access token expire, il n'est pas nécessaire de relancer une authentification complète. Le mécanisme de refresh token permet de générer une nouvelle paire de tokens (access token et refresh token) à partir du refresh token actuellement valide.
Renouveler un token d'accès
Le renouvellement utilise le même endpoint que l'authentification.
Endpoints :
| Environnement | Endpoint |
|---|---|
| Production | https://auth.inqom.com/identity/connect/token |
| Staging | https://auth-staging.inqom.com/identity/connect/token |
Exemple de requête :
POST https://auth.inqom.com/identity/connect/token
Content-Type: application/x-www-form-urlencoded
grant_type=refresh_token
&client_id=<client_id>
&client_secret=<client_secret>
&refresh_token=<refresh_token>
Paramètres du body
| Paramètre | Description |
|---|---|
grant_type=refresh_token |
Indique l'utilisation du flux de renouvellement. À ne pas confondre avec authorization_code |
client_id |
Identifiant de votre application partenaire. |
client_secret |
Secret de votre application partenaire. |
refresh_token |
Refresh token actuellement valide. |
Exemple de réponse :
{
"access_token": "...",
"refresh_token": "...",
"expires_in": 31104000,
"token_type": "Bearer"
}
Rotation des refresh tokens
Chaque refresh token est à usage unique.
Dès qu'un renouvellement est effectué avec succès, le refresh token utilisé est immédiatement obsolète. Le nouveau refresh token retourné dans la réponse devient alors le seul token valide pour un prochain renouvellement.