Jetons d’accès personnels

Vous pouvez demander un jeton d’accès personnel à partir de la section API de l’application web Contentful. Vous aurez besoin d’accéder à Content Management API pour en générer un.

Par défaut, les jetons créés par les utilisateurs ne sont pas automatiquement autorisés pour toutes les organisations auxquelles ils appartiennent. Si l’application de l’autorisation des jetons est activée pour une organisation, les utilisateurs doivent autoriser manuellement chaque jeton avant qu’il ne puisse être utilisé.

Pour autoriser un jeton :

1. Accédez à votre liste de jetons d’accès personnels.

2. Cliquez sur Autoriser à côté de l’organisation à laquelle vous souhaitez que le jeton accède.

3. Si l’organisation applique le SSO, vous serez invité à vous authentifier avant que l’autorisation ne soit terminée.

Cette étape supplémentaire garantit que les jetons ne sont actifs que lorsqu’ils sont intentionnellement liés.

En tant qu’administrateur, vous pouvez désautoriser les jetons pour révoquer leur accès à votre organisation, sans supprimer l’utilisateur ni révoquer entièrement le jeton.

Comment retirer l’autorisation d’un jeton :

1. Accédez à la vue d’administration des jetons CMA.

2. Sélectionnez un ou plusieurs jetons.

3. Cliquez sur Retirer l’autorisation.

Le jeton reste actif pour toutes les autres organisations pour lesquelles il est autorisé. Lors de la désautorisation :

• Le propriétaire du jeton est informé.

• Tous les administrateurs et propriétaires d’organisation dont les jetons sont désactivés sont informés par mesure de sécurité.

Cela vous donne un contrôle précis sur l’accès aux jetons sans perturber les utilisateurs ou les flux de travail dans d’autres organisations.

Les jetons Content Management API sont comme des mots de passe. Toute personne qui y a accès peut l’utiliser pour utiliser Contentful en votre nom, vous devez donc faire de votre mieux pour les protéger. Les mesures habituelles à mettre en œuvre consistent notamment à utiliser autant que possible des variables d’environnement et à ajouter à la liste d’exclusion de votre VCS tout fichier contenant un jeton, afin d’éviter toute fuite.

REMARQUE : vous ne pouvez pas définir de date d’expiration sur les jetons existants. 

Pour ajouter une date d’expiration à un jeton d’accès personnel, vous devez créer un nouveau jeton. Cliquez sur le bouton Créer un jeton d’accès personnel dans le coin supérieur droit de la page des jetons CMA. Dans la boîte de dialogue, saisissez le nom du nouveau jeton et choisissez une date d’expiration dans la liste déroulante. Cliquez sur Générer pour créer le nouveau jeton.

Lorsqu’un jeton approche de sa date d’expiration, les personnes qui l’ont créé reçoivent des notifications par e-mail contenant des conseils sur la manière de créer un nouveau jeton. Cependant, les jetons dont la durée d’expiration est inférieure à 1 jour ne recevront pas de notification par e-mail.

Lors de la création d’un jeton d’accès personnel, une date d’expiration doit être définie pour votre jeton. Lorsque la date d’expiration de votre jeton est atteinte, il est automatiquement révoqué. Les dates d’expiration augmentent la capacité de votre organisation à sécuriser l’accès à vos données et à assurer la bonne maintenance de vos jetons.

Lorsque vous créez un jeton d’accès personnel, nous vous recommandons de définir une date d’expiration pour votre jeton. Lorsque la date d’expiration de votre jeton est atteinte, il est automatiquement révoqué. L’ajout d’une date d’expiration augmente la capacité de votre organisation à sécuriser l’accès à vos données.

Cela varie considérablement en fonction de votre cas d’utilisation. Les applications OAuth permettent aux utilisateurs de se connecter via Contentful et donnent à votre application accès au jeton nécessaire pour fonctionner. Les jetons d’accès personnels sont personnels, ce qui signifie qu’ils sont liés à un seul compte d’utilisateur Contentful. Cela fait des Jetons d’accès personnel (PAT) de bons candidats pour le développement comme pour l’automatisation, lorsqu’une application n’a besoin que d’un seul compte Contentful pour gérer le contenu.

Intrinsèquement aucune, car les deux sont des jetons pour accéder à Contentful Content Management API. Ils sont tous deux liés à l’utilisateur qui l’a demandé, et ont donc accès aux mêmes organisations, espaces et contenus que le propriétaire du jeton.

La différence est plus conceptuelle : avec OAuth, vous autorisez une application à parler à Contentful en votre nom, et vous ne verrez peut-être jamais les informations d’identification utilisées par l’application ; en revanche, avec les jetons d’accès personnels, vous devez demander les informations d’identification à l’API, puis de les gérer.

Parce qu’ils offrent un moyen facile de travailler avec notre Content Management API et qu’ils constituent une norme répandue utilisée par des organisations et des services bien connus (comme Github, par exemple).