Utilisez votre ID client, votre secret et soit le jeton actif, soit son jeton d'actualisation associé pour révoquer la paire de jetons. Vous pouvez révoquer les paires de jetons créées dans les deux processus OAuth en trois étapes. Si vous avez plusieurs ensembles de jetons, par exemple pour différentes portées, seul le jeton d'accès spécifié et le jeton d'actualisation correspondant seront révoqués.
Nous vous suggérons de révoquer les jetons dans les conditions suivantes :
- Pour révoquer les tokens émis à un fournisseur tiers après la rupture d'une relation ;
- Pour révoquer les jetons lorsque les utilisateurs déconnectent leur ORCID iD de votre système ;
- Pour permettre aux utilisateurs de révoquer les jetons depuis votre système.
Nous recommandons d'utiliser le rafraîchir les jetons pour limiter la portée ou la durée d'un jeton d'accès existant ou mettre à jour un jeton s'il a été compromis.
L'appel d'API de révocation
https://sandbox.orcid.org/oauth/revoke (or https://orcid.org/oauth/revoke)
METHOD: POST
HEADER: accept:application/json
CONTENT-TYPE: application/x-www-form-urlencoded
DATA:
client_id=[Your client ID]
client_secret=[Your client secret]
token=[access token or refresh token for token pair to be revoked]