

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Fin des sessions utilisateur par révocation de jetons
<a name="token-revocation"></a>

Vous pouvez révoquer les jetons d'actualisation et les sessions des utilisateurs finaux à l'aide des méthodes suivantes. Lorsque vous révoquez un jeton d'actualisation, tous les jetons d'accès précédemment émis par celui-ci deviennent non valides. Les autres jetons d'actualisation émis à l'utilisateur ne sont pas affectés.

**RevokeToken opération**  
[RevokeToken](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_RevokeToken.html)révoque tous les jetons d'accès pour un jeton d'actualisation donné, y compris le jeton d'accès initial lors de la connexion interactive. Cette opération n'affecte aucun des autres jetons d'actualisation de l'utilisateur ni les fils d'identification et de jeton d'accès de ces autres jetons d'actualisation.

**Point de terminaison de révocation**  
Le point de [terminaison](revocation-endpoint.md) de révocation révoque un jeton d'actualisation donné ainsi que tous les jetons d'identification et d'accès générés par le jeton d'actualisation. Ce point de terminaison révoque également le jeton d'accès initial lors de la connexion interactive. Les demandes adressées à ce point de terminaison n'affectent aucun des autres jetons d'actualisation de l'utilisateur ni les enfants des jetons d'identification et d'accès de ces autres jetons d'actualisation.

**GlobalSignOut opération**  
[GlobalSignOut](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_GlobalSignOut.html)est une opération en libre-service qu'un utilisateur autorise à l'aide de son jeton d'accès. Cette opération révoque tous les jetons d'actualisation, d'identification et d'accès de l'utilisateur demandeur.

**AdminUserGlobalSignOut opération**  
[AdminUserGlobalSignOut](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminUserGlobalSignOut.html)est une opération côté serveur qu'un administrateur autorise à l'aide des informations d'identification IAM. Cette opération révoque tous les jetons d'actualisation, d'identification et d'accès de l'utilisateur cible.

**Ce qu'il faut savoir sur la révocation des jetons**
+ Votre demande de révocation d'un jeton d'actualisation doit inclure l'identifiant client utilisé pour obtenir le jeton.
+ Le groupe JWTs d'utilisateurs est autonome avec une signature et un délai d'expiration qui ont été attribués lors de la création du jeton. Il n'est pas possible d'utiliser des jetons révoqués avec des appels d'API Amazon Cognito nécessitant un jeton. Cependant, les jetons révoqués restent valides s'ils sont vérifiés à l'aide d'une bibliothèque JWT qui vérifie leur signature et leur expiration.
+ Lorsque vous créez un client de groupe d'utilisateurs, la révocation de jetons est activée par défaut.
+ Vous pouvez révoquer les jetons d'actualisation uniquement dans les clients de l'application pour lesquels la révocation des jetons est activée. 
+ Une fois que vous avez activé la révocation de jetons, de nouveaux champs standard sont ajoutés dans les jetons Web JSON Amazon Cognito. Les revendications `origin_jti` et `jti` sont ajoutées aux jetons d'accès et d'identification. Ces revendications augmentent la taille des jetons d'accès et d'identification du client d'application.
+ Lorsque vous désactivez la révocation des jetons dans un client d'application où elle était précédemment activée, les jetons révoqués ne redeviennent pas actifs.
+ Lorsque vous [désactivez un compte utilisateur](how-to-manage-user-accounts.md#manage-user-accounts-enable-disable) (ce qui révoque les jetons d'actualisation et d'accès), les jetons révoqués ne deviennent pas actifs si vous réactivez le compte utilisateur.
+ Lorsque vous créez un nouveau client de groupe d'utilisateurs à l'aide de l' AWS Management Console API AWS CLI, de la ou de l' AWS API, la révocation des jetons est activée par défaut.

## Activer la révocation de jetons
<a name="enable-token-revocation"></a>

Pour pouvoir révoquer un jetons pour un client de groupe d'utilisateurs existant, vous devez activer la révocation de jetons. Vous pouvez activer la révocation des jetons pour les clients du groupe d'utilisateurs existants à l'aide de l'API AWS CLI ou de l' AWS API. Pour ce faire, appelez la Commande de l'interface de ligne de commande `aws cognito-idp describe-user-pool-client` ou l'opération de l'API `DescribeUserPoolClient` pour récupérer les paramètres actuels de votre client d'application. Appelez ensuite la commande de l'interface de ligne de commande `aws cognito-idp update-user-pool-client` ou l'opération de l'API `UpdateUserPoolClient`. Incluez les paramètres actuels de votre client d'application et définissez le paramètre `EnableTokenRevocation` sur `true`.

Pour créer ou modifier un client d'application avec la révocation des jetons activée avec l'API Amazon Cognito ou avec AWS un SDK, incluez le paramètre suivant dans votre demande ou dans [CreateUserPoolClient](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPoolClient.html)votre [UpdateUserPoolClient](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPoolClient.html)demande d'API.

```
"EnableTokenRevocation": true
```

Pour configurer la révocation des jetons dans la console Amazon Cognito, sélectionnez un client d'application dans **le menu App** clients de votre groupe d'utilisateurs. Sélectionnez le bouton **Modifier** dans les **informations du client de l'application** et activez ou désactivez la révocation des jetons dans **Configuration avancée**.

## Révocation d'un jeton
<a name="revoke-tokens-api"></a>

Vous pouvez révoquer un jeton d'actualisation à l'aide d'une demande d'[RevokeToken](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_RevokeToken.html)API, par exemple à l'aide de la commande `[aws cognito-idp revoke-token](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/revoke-token.html)` CLI. Vous pouvez également révoquer des jetons à l'aide du [Point de terminaison de révocation](revocation-endpoint.md). Ce point de terminaison est disponible après l'ajout d'un domaine à votre groupe d'utilisateurs. Vous pouvez utiliser le point de terminaison de révocation sur un domaine hébergé par Amazon Cognito ou sur votre propre domaine personnalisé.

L'exemple qui suit illustre un exemple de demande d'API `RevokeToken`.

```
{
   "ClientId": "1example23456789",
   "ClientSecret": "abcdef123456789ghijklexample",
   "Token": "eyJjdHkiOiJKV1QiEXAMPLE"
}
```

Voici un exemple de demande cURL adressée au point de terminaison `/oauth2/revoke` d'un groupe d'utilisateurs avec un domaine personnalisé.

```
curl --location 'auth.mydomain.com/oauth2/revoke' \
--header 'Content-Type: application/x-www-form-urlencoded' \
--header 'Authorization: Basic Base64Encode(client_id:client_secret)' \
--data-urlencode 'token=abcdef123456789ghijklexample' \
--data-urlencode 'client_id=1example23456789'
```

L'opération `RevokeToken` et le point de terminaison `/oauth2/revoke` ne nécessitent aucune autorisation supplémentaire, sauf si votre client d'application possède un secret client.