Rafraîchir votre jeton

➤ Principe

Les jetons OAUTH2 ayant une durée de vie limitée, il vous est nécessaire d’en demander le rafraîchissement avant son expiration.



➤ Règles de base

Le teneur de compte (ASPSP) dispose au plus d'un jeton d'accès (access_token) et d'un jeton de rafraîchissement (refresh_token) valides par triplet client PSU / TPP / rôle AISP ou CBPII.

  • Le jeton d'accès a une durée de validité courte (de l'ordre d'une heure max) sur un périphérique ou une application de notre client

  • Le jeton de rafraîchissement a une durée de vie de 90 jours

  • Le jeton de rafraîchissement et le jeton d'accès doivent pouvoir être révoqués à tout moment

  • Si le jeton d'accès est révoqué alors le jeton de rafraîchissement doit l'être aussi et réciproquement



➤ Cinématique du rafraîchissement de votre jeton d'accès (access_token)

1. Vous demandez le renouvellement du jeton d'accès auprès de l’ASPSP

2. L’ASPSP initie le renouvellement du jeton d'accès

3. L’ASPSP récupère le certificat du TPP auprès du référentiel de place

4. L’ASPSP contrôle la validité et la non révocation du certificat présenté

5. L’ASPSP contrôle la date de la dernière authentification (< 90 jours)

6. L’ASPSP vous transmet le nouveau jeton d'accès et l'ancien jeton de rafraîchissement

7. Vous stockez le jeton d'autorisation et l'ancien jeton de rafraîchissement de façon sûre

8. L’ASPSP invalide l'ancien jeton d'autorisation



➤ Exemple

Un exemple de requête est fourni dans la rubrique "Comment tester l'API ?" > "Assemblage sandbox".