Bonjour à tous,
Je crée un sujet dans le but de valider la bonne compréhension du mode de l’authentification (et désauthentification) sur Directus (et son utilisation sur Flutter).
Les points que j’aimerai valider:
- Le refreshToken de directus a une durée de vie illimitée (par opposition à l’access token qui a une durée de vie de 900 000 ms). C’est bien ca ?
- Quand on veut faire un logout, on « tue » le refreshtoken via un POST http. C’est bien ca ?
- Et par conséquent, dans l’objectif de proposer une option « rester connecté » aux utilisateurs, il n’est pas nécessaire de sauvegarder email et mp dans le secure storage, mais simplement l’access_token et le refresh_token. Ok avec ca ou pas ?
Merci d’avance
Je site @Tazooou qui a répondu à cette question dans un autre sujet :
Le refresh token a une durée de vie de 7 jours par défaut dans directus.
Pour rester connecter au delà de 7 jours il faut donc bien avoir stocké quelques part user et mp.
La réponse de @Tazooou :
Le bout de doc qui parle de ça :
refresh_token
chaîne
Le jeton qui peut être utilisé pour récupérer un nouveau jeton d’accès via /auth/refresh
. Remarque : si vous avez utilisé cookie
le mode dans la requête, le jeton d’actualisation ne sera pas renvoyé dans le JSON.
Date d’expiration
Le délai d’expiration du jeton peut être configuré via la ACCESS_TOKEN_TTL
variable d’environnement .
ACCESS_TOKEN_TTL |
La durée pendant laquelle le jeton d’accès est valide. |
15m |
REFRESH_TOKEN_TTL |
La durée de validité du jeton d’actualisation, ainsi que la durée pendant laquelle les utilisateurs restent connectés à l’application. |
7d |