➤ Principe

Les jetons OAUTH2 ayant une durée de vie limitée, il est nécessaire d’en demander le rafraîchissement avant son expiration.

➤ Règles de base

Le teneur de compte (ASPSP) dispose au plus d'un jeton d'accès (access_token) et d'un jeton de rafraîchissement (refresh_token) valides par triplet "client PSU" / "TPP" / "rôle TPP" (AISP ou CBPII).

• Le jeton d'accès a une durée de validité courte (de l'ordre d'une heure max) sur un périphérique ou une application de notre client

• Le jeton de rafraîchissement a une durée de vie réglementaire (max 180 jours actuellement) 

• Le jeton de rafraîchissement et le jeton d'accès doivent pouvoir être révoqués à tout moment

• Si le jeton d'accès est révoqué alors le jeton de rafraîchissement doit l'être aussi et réciproquement

➤ Cinématique du rafraîchissement du jeton d'accès (access_token)

1. Le TPP demande le renouvellement du jeton d'accès auprès de l’ASPSP

2. L’ASPSP initie le renouvellement du jeton d'accès

3. L’ASPSP récupère le certificat QWAC du TPP 

4. L’ASPSP contrôle la validité et la non révocation du certificat présenté

5. L’ASPSP contrôle la date de la dernière authentification forte du PSU (< 180 jours actuellement)

6. L’ASPSP transmet au TPP le nouveau jeton d'accès et l'ancien jeton de rafraîchissement

7. Vous stockez le nouveau jeton d'autorisation et l'ancien jeton de rafraîchissement de façon sûre

8. L’ASPSP invalide l'ancien jeton d'autorisation

➤ Exemple

Un exemple de requête est fourni dans la rubrique "Comment tester l'API ?" > "Assemblage sandbox".