Stiamo apportando alcune modifiche al comportamento predefinito dei nuovi client OAuth globali in modo che i token di accesso e di aggiornamento scadano automaticamente. Inoltre, la scadenza attuale per i client OAuth locali (non globali) esistenti per l’adozione del flusso di token di aggiornamento è stata prorogata al 1 aprile 2027.

Questo annuncio include i seguenti argomenti:

• Cosa cambia?
• Perché Zendesk ha deciso di apportare questa modifica?
• Che cosa devo fare?

Cosa cambia?

A partire dal 2 febbraio 2026, è entrata in vigore la modifica precedentemente annunciata che richiede ai client OAuth globali di usare il flusso di token di aggiornamento. Di conseguenza, stiamo applicando il TTL (time to live) predefinito per l’accesso e l’aggiornamento dei token per (1) tutti i client OAuth globali appena creati (chiamati anche client OAuth esterni) e (2) i client OAuth globali esistenti senza utilizzo o senza utilizzo negli ultimi 3 mesi. Per i client OAuth globali con un utilizzo più recente, le scadenze verranno applicate come parte degli sforzi in corso per attuare le nostre linee guida di sicurezza avanzate.

Inoltre, a partire dal 30 aprile 2026, a tutti i client OAuth locali (non globali) appena creati verranno applicati automaticamente gli stessi TTL predefiniti. La scadenza precedentemente annunciata per l’adozione del flusso di token di aggiornamento è stata prorogata al 1 aprile 2027.

Perché Zendesk sta apportando questa modifica?

Per rafforzare la sicurezza e allinearci agli standard moderni, abbiamo bisogno di token di aggiornamento OAuth 2.0 per tutti i client OAuth globali creati dopo il 2 febbraio 2026. Ciò garantisce che i token di accesso siano di breve durata e soggetti a rotazione, il che riduce notevolmente la finestra di opportunità in caso di esposizione di un token. Con l’aumento in tutto il mondo della frequenza e della complessità degli attacchi e delle violazioni dei dati, l’adozione di token di aggiornamento è una best practice sempre più comune nel settore per limitare l’impatto dell’esposizione delle credenziali.

Che cosa devo fare?

1. Nel Centro amministrativo, fai clic su App e integrazioni nella barra laterale, quindi seleziona API > Client OAuth esterni.
2. Trova il client nell’elenco di cui vuoi visualizzare i token.
3. Fai clic sul menu delle opzioni accanto al client e seleziona Visualizza token per vedere il timestamp “Ultimo utilizzo alle”.

Se sei uno sviluppatore di app di terzi, puoi usare le seguenti linee guida generali per preparare l’app alla scadenza del token OAuth e alla gestione dell’aggiornamento. I dettagli esatti dell’implementazione variano in base all’applicazione e al modo in cui è stata creata. Per maggiori informazioni, consulta Utilizzo dei token di aggiornamento OAuth.

1. Implementa il flusso di aggiornamento in modo che l’app possa rinnovare l’accesso senza costringere gli utenti a ripetere l’autorizzazione. Usa l’endpoint /oauth/tokens con grant_type=refresh_token per ottenere un nuovo token di accesso. Se usi una libreria o un pacchetto client OAuth, consulta la relativa documentazione per confermare che supporti i token di aggiornamento (e l’aggiornamento automatico dei token) e aggiorna la configurazione o la versione in base alle esigenze. A seconda dell’implementazione del client OAuth, potrebbe essere necessario aggiornare anche il modo in cui memorizzi i token di aggiornamento e gestisci la scadenza dei token di accesso.
2. Gestisci la rotazione e la scadenza. Aggiorna i token di accesso prima della scadenza (o quando una richiesta autenticata OAuth restituisce una risposta 4xx) per evitare interruzioni e sostituisci i vecchi token di aggiornamento quando ne viene restituito uno nuovo.
3. Gestisci correttamente gli errori. Se una richiesta autenticata con OAuth o una richiesta di aggiornamento del token di accesso non riescono, mostra agli utenti un messaggio chiaro e chiedi loro di autorizzare nuovamente l’app in modo che venga ricevuto un nuovo token di accesso e aggiornamento.
4. Monitora e assisti l’implementazione.

Per lasciare un feedback o per eventuali domande in merito a questo annuncio, visita il forum della community, dove vengono raccolti e gestiti i feedback dei clienti sui prodotti. Per ricevere assistenza generica per i prodotti Zendesk, contatta l’assistenza clienti Zendesk.