Связаться с намиПодключиться

Отзыв refresh-токена

Статья создана
Обновлена 21 апреля 2025 г.

Чтобы отозвать refresh-токен федеративного пользователя:

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

  1. Посмотрите описание команды отзыва refresh-токена:

    yc iam refresh-token revoke --help

  2. Если вы хотите отозвать определенные refresh-токены, получите их идентификаторы.

  3. Чтобы отозвать refresh-токен или несколько refresh-токенов пользователя, выполните команду:

    Важно

    Команду yc iam refresh-token revoke можно выполнять без указания дополнительных параметров. В этом случае она отзовет все refresh-токены пользователя, аутентифицированного в текущий момент в Yandex Cloud CLI.

    При отзыве всех refresh-токенов текущего пользователя команда yc iam refresh-token revoke дополнительно запрашивает подтверждение выполнения этого действия в терминале.

    yc iam refresh-token revoke \
  --refresh-token <тело_refresh-токена_в_stdin>
  --refresh-token-id <идентификатор_refresh-токена> \
  --subject-id <идентификатор_пользователя> \
  --client-id <идентификатор_OAuth-приложения> \
  --client-instance-info <версия_OAuth-приложения>

    Где:

    • --refresh-token — тело refresh-токена, который вы хотите отозвать. Значение должно передаваться через стандартный поток ввода (stdin). Необязательный параметр. Примеры использования:

      • Передача тела токена в строке — yc iam refresh-token revoke --refresh-token <<< "<тело_refresh-токена>".
      • Передача тела токена в файле — yc iam refresh-token revoke --refresh-token < <путь_к_файлу_с_телом_refresh-токена>.

      Использование параметра --refresh-token делает невозможным использование любых других параметров команды yc iam refresh-token revoke.

    • --refresh-token-id — идентификатор refresh-токена, который вы хотите отозвать. Необязательный параметр.

      Использование параметра --refresh-token-id делает невозможным использование любых других параметров команды yc iam refresh-token revoke.

    • --subject-idидентификатор федеративного пользователя, refresh-токены которого вы хотите отозвать. Необязательный параметр. Если параметр не задан, будут отозваны refresh-токены пользователя, аутентифицированного в данный момент в Yandex Cloud CLI.

      По умолчанию любой федеративный пользователь может отзывать свои refresh-токены. Отзывать refresh-токены других пользователей могут пользователи, обладающие одной из следующих ролей на организацию: organization-manager.federations.userAdmin или iam.userAccounts.refreshTokenRevoker.

    • --client-id — идентификатор OAuth-приложения, refresh-токены для которого вы хотите отозвать. Например: идентификатор Yandex Cloud CLI — yc.oauth.public-sdk. Необязательный параметр.

    • --client-instance-info — идентификатор версии OAuth-приложения, refresh-токены для которого вы хотите отозвать. Например: yc/0.141.0. Необязательный параметр.

    Результат:

    done (3s)
refresh_token_ids:
  - dda5243b-34b9-415e-a534-fdb8********
  - 07998b66-9f3d-472b-9357-a904********

Воспользуйтесь методом REST API revoke для ресурса RefreshToken или вызовом gRPC API RefreshTokenService/Revoke.

Предыдущая
Получение списка refresh-токенов
Следующая
Управление статическими ключами доступа