| 宣布日期 | 开始推行 |
| 2026 年 2 月 2 日 | 2026 年 2 月 2 日 |
我们对新版全局 OAuth 客户端的默认行为进行了一些更改,以便访问令牌和刷新令牌自动过期。此外,现有本地(非全局)OAuth 客户端采用刷新令牌工作流程的截止日期已延长至 2027 年 4 月 1 日。
此公告包括以下主题:
有什么变化?
之前宣布的要求全局 OAuth 客户端使用刷新令牌工作流程的更改已于 2026 年 2 月 2 日生效。因此,我们将对以下两类客户端强制实施访问令牌和刷新令牌的默认 TTL(生存时间):(1) 所有新建的全局 OAuth 客户端(也称为外部 OAuth 客户端);(2) 没有使用记录或在过去 3 个月内未使用的现有全局 OAuth 客户端。对于最近使用频率较高的全局 OAuth 客户端,我们将应用过期机制,以持续推进增强安全性指南落地。
此外,从 2026 年 4 月 30 日起,所有新建本地(非全局)OAuth 客户端将自动应用相同的默认 TTL。之前宣布的采用刷新令牌工作流程的截止日期已延长至 2027 年 4 月 1 日。
| 令牌类型 | 默认 TTL | 最小 TTL | 最大 TTL |
| 访问令牌 | 30 分钟 | 5 分钟 | 48 小时 |
| 刷新令牌 | 30 天 | 7 天 | 90 天 |
Zendesk 为何作出这项更改?
为了提高安全性并符合现代标准,我们要求 2026 年 2 月 2 日之后创建的所有全局 OAuth 客户端都使用 OAuth 2.0 刷新令牌。这样可确保访问令牌短期有效并会进行轮换,从而大幅缩小令牌泄露后被利用的时间窗口。随着全球网络攻击和数据泄露事件的频率与复杂性不断上升,采用刷新令牌已日益成为业内限制凭证泄露影响的常见最佳实践。
我需要做些什么?
- 在管理中心,单击侧栏中的应用和整合,然后选择 API > 外部 OAuth 客户端。
- 在列表中找到您要查看其密钥的客户端。
- 单击客户端旁边的选项菜单,然后选择查看密钥,以查看“最后使用时间”时间戳。
如果您是第三方应用开发者,可参考如下通用指南处理应用,以妥善应对 OAuth 密钥过期和刷新流程。具体实施详情因应用程序及其构建方式而异。有关更多信息,请参阅使用 OAuth 刷新令牌。
- 实施刷新工作流程,让您的应用无需强制用户重新授权即可续订访问权限。将 /oauth/tokens 端点 用于
grant_type=refresh_token以获取新的访问令牌。如果您使用的是 OAuth 客户端库或程序包,请查看其文档,确认其是否支持刷新令牌(和自动令牌刷新),并根据需要更新配置或版本。根据 OAuth 客户端的实现方式,您可能还需要更新刷新令牌的存储方式,并调整对访问令牌过期的处理逻辑。 - 处理轮换和过期。请在访问令牌过期前(或在 OAuth 身份验证请求返回 4xx 响应时)对其进行刷新,以免服务中断,并在系统返回新的刷新令牌后及时替换旧的刷新令牌。
- 妥善处理失败。如果 OAuth 身份验证请求失败,或刷新访问密钥的请求未成功,应向用户展示清晰的提示信息,并引导他们重新授权应用,以便获取新的访问令牌和刷新令牌。
- 监测并支持推行。
如果您对此公告有任何反馈或疑问,请访问我们的社区论坛,我们将在这里收集和管理客户对产品的反馈。如需获取关于 Zendesk 产品的常规帮助,请联系 Zendesk 客户支持。
翻译免责声明:本文章使用自动翻译软件翻译,以便您了解基本内容。 我们已采取合理措施提供准确翻译,但不保证翻译准确性
如对翻译准确性有任何疑问,请以文章的英语版本为准。