> ## Documentation Index
> Fetch the complete documentation index at: https://docs-dev.auth0-mintlify.app/llms.txt
> Use this file to discover all available pages before exploring further.

# Changements dans les jetons d’Auth0 Management API v2

> Découvrez ce qui a changé dans le processus de génération des jetons d’Auth0 Management API v2 et pourquoi.

Il y a quelque temps, nous avons modifié le processus d’obtention d’un jeton de Management APIv2. Cet article explique ce qui a changé, la raison d’être de la modification et comment vous pouvez contourner cela (déconseillé).

## Ce qui a changé et pourquoi.

### L’expérience utilisateur

Jusqu’à récemment, vous pouviez générer un jeton de Management APIv2 directement à partir de l’explorateur <Tooltip href="/docs/fr-ca/glossary?term=management-api" tip="Management API
Un produit permettant aux clients d’effectuer des tâches administratives." cta="Voir le glossaire">Management API</Tooltip>. Vous avez sélectionné les permissions, en fonction du point de terminaison que vous souhaitiez invoquer, et vous avez obtenu un jeton à partir de cette même page.

Cette méthode était très facile, mais elle était également très peu sûre. Nous l’avons donc modifiée.

La nouvelle méthode utilise le [flux des identifiants client](/docs/fr-ca/get-started/authentication-and-authorization-flow/client-credentials-flow). Pour apprendre à utiliser le nouveau processus, consultez [Jetons d’accès à Management API](/docs/fr-ca/secure/tokens/access-tokens/management-api-access-tokens).

#### Pourquoi cela a-t-il changé?

Pour générer le jeton, Management API nécessitait l’accès à votre Secret global du client (utilisé pour signer le jeton). C’est une information qui ne devrait pas être exposée aux navigateurs web.

En outre, l’explorateur d’API ne dispose d’aucun moyen d’autorisation. Cela signifie que si un utilisateur pouvait se connecter et accéder à API Explorer, il pourrait générer un jeton avec n’importe quelle permission, même s’il n’était pas autorisé à avoir cette permission.

La nouvelle implémentation ne présente pas de tels risques. Une fois que vous avez effectué la configuration initiale, vous pouvez obtenir un jeton soit en visitant <Tooltip href="/docs/fr-ca/glossary?term=auth0-dashboard" tip="Auth0 Dashboard
Principal produit d’Auth0 pour configurer vos services." cta="Voir le glossaire">Auth0 Dashboard</Tooltip>, soit en effectuant une simple requête `POST` vers le [point de terminaison `/oauth/token` de notre Authentication API](/docs/fr-ca/api/authentication#client-credentials).

Cependant, en ce qui concerne le processus manuel, nous comprenons que changer d’écrans ne constitue pas toujours la meilleure expérience utilisateur. Nous cherchons donc des moyens de rendre le nouveau flux plus intuitif.

### La période de validité

Avec le flux précédent, les jetons n’expiraient jamais. Avec le nouveau flux, tous les jetons de Management APIv2 expirent par défaut après 24 heures.

#### Pourquoi cela a-t-il changé?

Avoir un jeton qui n’expire jamais peut être très risqué, au cas où une personne malicieuse parviendrait à s’en emparer. Si le jeton expire dans quelques heures, cette personne malicieuse n’a qu’une petite fenêtre de temps pour accéder à vos ressources protégées.

Pour obtenir un jeton, vous devez suivre uniquement le processus décrit dans [Jetons d’accès à Management API](/docs/fr-ca/secure/tokens/access-tokens/management-api-access-tokens).
