Nous apportons des modifications au comportement par défaut des nouveaux clients OAuth globaux afin que les tokens d’accès et d’actualisation expirent automatiquement. En outre, la date limite actuelle pour l’adoption du flux de token d’actualisation par les clients OAuth locaux (non globaux) existants a été prolongée jusqu’au 1er avril 2027.

Cette annonce couvre les sujets suivants :

• Qu’est-ce qui va changer ?
• Pourquoi cette modification ?
• Que dois-je faire ?

Qu’est-ce qui va changer ?

Depuis le 2 février 2026, la modification annoncée précédemment demandant aux clients OAuth globaux d’utiliser le flux de token d’actualisation est désormais en vigueur. En conséquence, nous appliquons le TTL (durée de vie) par défaut pour les tokens d’accès et d’actualisation pour (1) tous les nouveaux clients OAuth globaux (aussi appelés clients OAuth externes) et (2) les clients OAuth globaux existants sans utilisation ou sans utilisation au cours des 3 derniers mois. Pour les clients OAuth globaux avec une utilisation plus récente, les expirations seront appliquées dans le cadre des efforts continus pour respecter nos directives de sécurité améliorées.

En outre, à partir du 30 avril 2026, les mêmes TTL par défaut seront appliqués à tous les nouveaux clients OAuth locaux (non globaux). La date limite annoncée précédemment pour l’adoption du workflow de token d’actualisation a été prolongée jusqu’au 1er avril 2027.

Pourquoi cette modification ?

Pour renforcer la sécurité et respecter les normes modernes, nous exigeons les tokens d’actualisation OAuth 2.0 pour tous les clients OAuth globaux créés après le 2 février 2026. Cela garantit que les tokens d’accès sont de courte durée et alternés, ce qui réduit considérablement la fenêtre d’opportunité si un token est utilisé. Avec la fréquence et la sophistication croissantes des attaques et des violations de données dans le monde entier, l'adoption de jetons d’actualisation est une bonne pratique de plus en plus courante pour limiter l'impact de l'exposition des identifiants.

Que dois-je faire ?

1. Dans le Centre d’administration, cliquez sur Applications et intégrations dans la barre latérale, puis sélectionnez API > Clients OAuth externes.
2. Cherchez dans la liste le client dont vous souhaitez consulter les tokens.
3. Cliquez sur le menu des options en regard du client et sélectionnez Voir le token pour voir l’horodatage de dernière utilisation.

Si vous êtes développeur d’applications tiers, vous pouvez utiliser les directives générales suivantes pour préparer votre application pour l’expiration et le traitement des actualisations des tokens OAuth. Les détails exacts de l’implémentation varieront selon votre application et la façon dont elle est créée. Pour en savoir plus, consultez Utilisation des tokens d’actualisation OAuth.

1. Implémentez le workflow d’actualisation pour que votre application puisse renouveler l’accès sans forcer les utilisateurs à l’autoriser à nouveau. Utilisez le point de terminaison /oauth/tokens avec grant_type=refresh_token pour obtenir un nouveau token d’accès. Si vous utilisez une bibliothèque ou un package client OAuth, consultez sa documentation pour confirmer qu'il prend en charge les jetons d'actualisation (et l'actualisation automatique des jetons) et mettez à jour votre configuration ou votre version si nécessaire. Selon l’implémentation de votre client OAuth, il est possible que vous deviez aussi mettre à jour la façon dont vous stockez les tokens d’actualisation et dont vous traitez l’expiration.
2. Gérez la rotation et l’expiration. Actualisez les tokens d’accès avant qu’ils n’arrivent à expiration (ou quand une demande authentifiée OAuth renvoie une réponse 4xx) pour éviter les interruptions, et remplacez les anciens tokens d’actualisation quand vous en recevez un nouveau.
3. Gérez les échecs avec grâce. Si une demande authentifiée avec OAuth échoue ou si une demande d’actualisation du token d’accès échoue, affichez un message clair et invitez-les à réautoriser l’application pour qu’elle puisse obtenir un nouvel accès et actualiser le token.
4. Surveillez et assistez le déploiement.

Si vous avez des commentaires ou des questions au sujet de cette annonce, consultez le forum communautaire, sur lequel nous recueillons et gérons les commentaires des clients sur nos produits. Pour obtenir de l’aide d’ordre général concernant vos produits Zendesk, contactez l’Assistance client Zendesk.