Jetons d’accès personnels

Vous devez obtenir un jeton Content Management API à partir de l’application Web Contentful. Vous pouvez le demander dans la section API.

By default, tokens created by users are not automatically authorized for every organization they belong to. If token authorization enforcement is activated for an organization, users must manually authorize each token before it can be used.

To authorize a token:

1. Go to your Personal Access Tokens list.

2. Click Authorize next to the organization you want the token to access.

3. If the org enforces SSO, you'll be prompted to authenticate before authorization is completed.

This added step ensures tokens are only active where they are intentionally linked.

As an admin, you can deauthorize tokens to revoke their access to your organization—without removing the user or revoking the token entirely.

How to deauthorize a token:

1. Go to the CMA tokens admin view.

2. Select one or more tokens.

3. Click Deauthorize.

The token remains active for any other orgs it is authorized for. Upon deauthorization:

• The token owner is notified.

• All org admins and owners that deauthorized tokens are notified as a safety precaution.

This gives you fine-grained control over token access without disrupting users or workflows in other orgs.

Lorsque vous créez un jeton d’accès personnel, nous vous recommandons de définir une date d’expiration pour votre jeton. Lorsque la date d’expiration de votre jeton est atteinte, il est automatiquement révoqué. L’ajout d’une date d’expiration augmente la capacité de votre organisation à sécuriser l’accès à vos données.

Les jetons Content Management API sont comme des mots de passe. Toute personne qui y a accès peut l’utiliser pour utiliser Contentful en votre nom, vous devez donc faire de votre mieux pour les protéger. Les mesures typiques à prendre incluent le recours aux variables d’environnement autant que possible, ainsi que l’ajout à la liste d’exclusion de votre VCS de tout fichier contenant un jeton, afin d’éviter toute fuite.

REMARQUE : vous ne pouvez pas définir de date d’expiration sur les jetons existants. 

Pour ajouter une date d’expiration à un jeton d’accès personnel, vous devez créer un nouveau jeton. Cliquez sur le bouton Créer un jeton d’accès personnel dans le coin supérieur droit de la page des jetons CMA. Dans la boîte de dialogue, saisissez le nom du nouveau jeton et choisissez une date d’expiration dans la liste déroulante. Cliquez sur Générer pour créer le nouveau jeton.  

Lorsqu’un jeton approche de sa date d’expiration, les personnes qui l’ont créé reçoivent des notifications par e-mail contenant des conseils sur la manière de créer un nouveau jeton. Cependant, les jetons dont la durée d’expiration est inférieure à 1 jour ne recevront pas de notification par e-mail.  

Lorsque vous créez un jeton d’accès personnel, nous vous recommandons de définir une date d’expiration pour votre jeton. Lorsque la date d’expiration de votre jeton est atteinte, il est automatiquement révoqué. L’ajout d’une date d’expiration augmente la capacité de votre organisation à sécuriser l’accès à vos données.

This highly varies depending on your use case. OAuth apps allow other users to authenticate against Contentful in order for your app to use the issued token as part of its process. Personal Access Tokens are personal, which means that they are tied to a single Contentful user account. This makes Personal Access Tokens good candidates for development, as well as automation purposes, when an application does only require a single Contentful account to manage content.

Inherently none, as both are tokens to access the Contentful Content Management API. They are both tied to the user who requested it, hence have access to the very same organisations, spaces and content as the token’s owner.

The difference is more conceptual: with OAuth, you authorize an app to talk to Contentful on your behalf, and might not ever see the credentials that the app uses; on the other hand, with Personal Access Tokens you are in charge of asking for the credentials to the API, and subsequently managing them.

Because they provide an easy way to work with our Content Management API, and are a widespread standard used across well-known organisations and services (such as Github, for example).