Jetons d’accès personnels

Les jetons d’accès personnels (PAT) offrent une alternative plus simple aux jetons OAuth pour accéder à Content Management API (CMA). Comme les jetons OAuth, les PAT sont liés à l’utilisateur qui les demande et portent les mêmes autorisations, y compris l’accès aux organisations, aux espaces et au contenu.

La principale différence est qu’avec OAuth, une application est autorisée à interagir avec Contentful en votre nom, et vous ne verrez peut-être jamais les informations d’identification. Avec les PAT, vous demandez et gérez directement les informations d’identification.

Choisissez entre les PAT et les jetons OAuth en fonction de votre cas d’utilisation. OAuth est idéal pour les applications où plusieurs utilisateurs doivent s’authentifier auprès de Contentful. En revanche, les PAT sont gérés par l’utilisateur et liés à un seul compte, ce qui les rend adaptés aux tâches de développement et d’automatisation qui nécessitent un accès à partir d’un seul compte Contentful.

Jetons d’accès personnels : points de terminaison d’API

Nous avons ajouté de nouveaux points de terminaison à notre CMA pour gérer les jetons d’accès personnels, afin que vous puissiez les créer, les répertorier et les révoquer à l’aide de notre API. La documentation contient tous les détails, mais voici un aperçu rapide. Pour créer un jeton d’accès personnel, envoyez une requête POST à https://api.contentful.com/users/me/access_tokens avec le corps

La réponse contiendra le jeton d’accès nouvellement généré, mais attention : c’est la seule fois que le jeton d’accès personnel sera affiché. Assurez-vous donc de l’enregistrer quelque part.

Pour naviguer dans les jetons actuels, vous pouvez envoyer des requêtes GET à https://api.contentful.com/users/me/access_tokens et https://api.contentful.com/users/me/access_tokens/<tokenId>. Gardez à l’esprit que ces points de terminaison ne renverront que le nom et la portée des jetons (et certaines métadonnées), mais pas le jeton lui-même. Voici un exemple de réponse :

Le dernier point de terminaison consiste à révoquer le jeton. Pour ce faire, effetuez une requête PUT à http://api.contentful.com/users/me/access_tokens/& lt;tokenId&gt ;/revoked.

personal access token JSON snippet 1

La réponse contiendra le jeton d’accès nouvellement généré, mais attention : c’est la seule fois que le jeton d’accès personnel sera affiché. Assurez-vous donc de l’enregistrer quelque part.

Pour naviguer dans les jetons actuels, vous pouvez envoyer des requêtes GET à https://api.contentful.com/users/me/access_tokens et https://api.contentful.com/users/me/access_tokens/<tokenId>. Gardez à l’esprit que ces points de terminaison ne renverront que le nom et la portée des jetons (et certaines métadonnées), mais pas le jeton lui-même. Voici un exemple de réponse :

personal access token JSON snippet 2

Le dernier point de terminaison consiste à révoquer le jeton. Pour ce faire, effectuez une requête PUT à http://api.contentful.com/users/me/access_tokens/<tokenId&gt ;/revoked.

Vue d’administration des jetons CMA 

Située sous « Paramètres », la page des jetons CMA fournit une liste complète des jetons d’accès personnels (PAT) qui ont accès à votre organisation.  

CMA tokens-admin view



Le tableau récapitule pour chaque jeton : son nom, ses dates de création et d’expiration, son auteur, son type et son statut. Vous pouvez appliquer des filtres pour rechercher des jetons par date de création, date d’expiration, type de jeton et statut du jeton.  

Pour rechercher un jeton, vous pouvez saisir les quatre derniers chiffres du jeton. 

Révoquer le jeton de l’organisation  

Les jetons d’accès personnels sont liés aux utilisateurs de votre organisation. Afin d’empêcher un jeton d’accéder à votre organisation, vous pouvez cliquer sur le nom de l’auteur et supprimer l’utilisateur de votre organisation. Cela empêchera également tous les autres jetons appartenant à cet utilisateur d’accéder à votre organisation

REMARQUE : pour révoquer un jeton, l’utilisateur (situé sous l’auteur dans le tableau) doit être supprimé de l’organisation. 

Supprimer un utilisateur de l’organisation  

Pour supprimer un utilisateur de l’organisation, cliquez sur le nom de l’utilisateur dans la colonne « Auteur ». Une fenêtre modale apparaîtra avec l’accès de l’utilisateur aux espaces et aux équipes. Au bas de la boîte de dialogue, cliquez sur Supprimer de l’organisation et sur la boîte de dialogue de confirmation. 

Une fois l’utilisateur supprimé de l’organisation, ses jetons n’auront plus accès à votre organisation. 

Sécurisation des jetons CMA  

Les jetons Content Management API ont un comportement similaire à celui des mots de passe. Tout utilisateur peut l’utiliser dans Contentful en votre nom, il est donc important de protéger ces informations d’identification. 

Vous devrez utiliser autant que possible des variables d’environnement. Pensez à ajouter à la liste d’exclusion de votre VCS tout fichier contenant un jeton, afin qu’il ne puisse pas être exposé.

Obtenir un jeton d’accès personnel sans jeton d’accès de gestion de contenu

Vous devez obtenir un jeton Content Management API à partir de l’application Web Contentful. Vous pouvez le demander dans la section API.

Cas d’utilisation de l’application OAuth et du jeton d’accès personnel

Les applications OAuth permettent aux utilisateurs de se connecter via Contentful et donnent à votre application accès au jeton nécessaire pour fonctionner

Les jetons d’accès personnels sont personnels, ce qui signifie qu’ils sont liés à un seul compte d’utilisateur Contentful. Cela fait des Personal Access Tokens (PAT) de bons candidats pour le développement comme pour l’automatisation, lorsqu’une application ne nécessite qu’un seul compte Contentful pour gérer le contenu.

Jetons émis par l’application OAuth et jetons d’accès personnels

Les deux cas d’utilisation sont des émetteurs de jetons utilisés pour accéder à Contentful Content Management API. Ils sont tous deux liés à l’utilisateur qui l’a demandé. Ils ont tous deux accès aux mêmes organisations, espaces et contenus que le propriétaire du jeton.

Avec OAuth, vous autorisez une application à correspondre à Contentful en votre nom. Il se peut que vous ne voyiez jamais les informations d’identification utilisées par l’application ; en revanche, avec les jetons d’accès personnels, vous êtes chargé de demander les informations d’identification à l’API, puis de les gérer.

Dates d’expiration des jetons d’accès personnels  

Lorsque vous créez un jeton d’accès personnel, nous vous recommandons de définir une date d’expiration pour votre jeton. Lorsque la date d’expiration de votre jeton est atteinte, il est automatiquement révoqué. L’ajout d’une date d’expiration augmente la capacité de votre organisation à sécuriser l’accès à vos données.

Définir une date d’expiration pour les jetons d’accès personnels

REMARQUE : vous ne pouvez pas définir de date d’expiration sur les jetons existants. 

Pour ajouter une date d’expiration à un jeton d’accès personnel, vous devez créer un nouveau jeton. Cliquez sur Créer un jeton d’accès personnel dans le coin supérieur droit de la page des jetons CMA. Dans la boîte de dialogue, saisissez le nom du nouveau jeton et choisissez une date d’expiration dans la liste déroulante. Cliquez sur Générer pour créer le nouveau jeton.  

create-personal-access-token

Lorsqu’un jeton approche de sa date d’expiration, les personnes qui l’ont créé reçoivent des notifications par e-mail contenant des conseils sur la manière de créer un nouveau jeton. Cependant, les jetons dont la durée d’expiration est inférieure à 1 jour ne recevront pas de notification par e-mail. 

Obtenir un jeton d’accès personnel dans l’application Web

Dans la navigation principale, choisissez Paramètres et sélectionnez Jetons CMA. Cliquez sur Créer un jeton d’accès et saisissez le nom souhaité. 

Important : copiez le jeton. Comme pour les autres requêtes API, vous n’aurez pas accès au jeton après avoir fermé cette fenêtre.

Une fois le jeton créé, il s’affiche sur la même page (avec vos anciens jetons), d’où vous pouvez les révoquer.