Passer au contenu principal
Le Flux de code d’autorisation est utilisé par les applications côté serveur capables de stocker des secrets en toute sécurité, ou par les applications natives via le Flux de code d’autorisation avec PKCE. Le pipeline conforme à l’OIDC affecte le flux de code d’autorisation dans les domaines suivants :
  • demande d’authentification,
  • réponse d’authentification,
  • demande d’échange de code,
  • réponse d’échange de code,
  • structure des jetons d’ID
  • structure des jetons d’accès.

demande d’authentification,

Comportement ancien

GET /authorize?
    response_type=code
    &scope=openid email favorite_color offline_access
    &client_id=123
    &state=af0ifjsldkj
    &redirect_uri=https://app.example.com/callback
    &device=my-device-name
Le paramètre device n’est nécessaire que si vous demandez un jeton d’actualisation en transmettant la permission offline_access. Pour en savoir plus, lisez Jetons d’actualisation.

Conformité OIDC

GET /authorize?
    response_type=code
    &scope=openid email offline_access
    &client_id=123
    &state=af0ifjsldkj
    &redirect_uri=https://app.example.com/callback
    &audience=https://api.example.com
  • favorite_color n’est plus une valeur de permission valide.
  • Le paramètre device (appareil) a été retiré.
  • Le paramètre audience est facultatif.

réponse d’authentification,

La réponse d’Auth0 est identique dans les deux pipelines : 
HTTP/1.1 302 Found
Location: https://app.example.com/callback?
    code=SplxlOBeZQQYbYS6WxSbIA
    &state=af0ifjsldkj

Demande d’échange de code - Flux de code d’autorisation

Un code d’autorisation peut être échangé de la même manière dans les deux pipelines : 
curl --request POST \
  --url 'https://{yourDomain}/oauth/token' \
  --header 'content-type: application/x-www-form-urlencoded' \
  --data grant_type=authorization_code \
  --data 'client_id={yourClientId}' \
  --data client_secret=YOUR_CLIENT_SECRET \
  --data code=YOUR_AUTHORIZATION_CODE \
  --data 'redirect_uri={https://yourApp/callback}'

Demande d’échange de code - Flux de code d’autorisation avec PKCE

Un code d’autorisation peut être échangé de la même manière dans les deux pipelines : 
curl --request POST \
  --url 'https://{yourDomain}/oauth/token' \
  --header 'content-type: application/x-www-form-urlencoded' \
  --data grant_type=authorization_code \
  --data 'client_id={yourClientId}' \
  --data code_verifier=YOUR_GENERATED_CODE_VERIFIER \
  --data code=YOUR_AUTHORIZATION_CODE \
  --data 'redirect_uri={https://yourApp/callback}'

réponse d’échange de code,

Comportement ancien

HTTP/1.1 200 OK
Content-Type: application/json
Cache-Control: no-store
Pragma: no-cache
{
    "access_token": "SlAV32hkKG",
    "token_type": "Bearer",
    "refresh_token": "8xLOxBtZp8",
    "expires_in": 3600,
    "id_token": "eyJ..."
}
  • Le jeton d’accès renvoyé n’est valable que pour appeler le point de terminaison /userinfo.
  • Un jeton d’actualisation sera retourné uniquement si un paramètre device a été passé et que la permission offline_access a été demandée.

Conformité OIDC

HTTP/1.1 200 OK
Content-Type: application/json
Cache-Control: no-store
Pragma: no-cache
{
    "access_token": "eyJ...",
    "token_type": "Bearer",
    "refresh_token": "8xLOxBtZp8",
    "expires_in": 3600,
    "id_token": "eyJ..."
}
  • Le jeton d’accès renvoyé est valable pour appeler éventuellement l’API spécifiée dans le paramètre audience et le point de terminaison /userinfo (à condition que l’API utilise RS256 comme algorithme de signature et que openid soit utilisé comme paramètre scope (permission)). Si vous ne mettez pas en œuvre votre propre serveur de ressources (API), vous pouvez utiliser https://{$account.namespace}/userinfo comme paramètre audience, lequel renverra un jeton d’accès opaque.
  • Un jeton d’actualisation sera renvoyé uniquement si la permission offline_access a été accordée.

structure des jetons d’ID

Comportement ancien

{
    "sub": "auth0|alice",
    "iss": "https://{yourDomain}/",
    "aud": "123",
    "exp": 1482809609,
    "iat": 1482773609,
    "email": "alice@example.com",
    "email_verified": true,
    "favorite_color": "blue"
}

Conformité OIDC

{
    "sub": "auth0|alice",
    "iss": "https://{yourDomain}/",
    "aud": "123",
    "exp": 1482809609,
    "iat": 1482773609,
    "email": "alice@example.com",
    "email_verified": true,
    "https://app.example.com/favorite_color": "blue"
}
La demande favorite_color doit être ajoutée par le biais d’une action Auth0. Pour en savoir plus, lisez Créer des demandes personnalisées.

Structure du jeton d’accès (facultatif)

Comportement ancien

SlAV32hkKG
Le jeton d’accès renvoyé est opaque et n’est valable que pour appeler le point de terminaison /userinfo.

Conformité OIDC

{
    "sub": "auth0|alice",
    "iss": "https://{yourDomain}/",
    "aud": [
        "https://api.example.com",
        "https://{yourDomain}/userinfo"
    ],
    "azp": "123",
    "exp": 1482816809,
    "iat": 1482809609,
    "scope": "openid email"
}
Le jeton d’accès renvoyé est valable pour appeler facultativement l’API spécifiée dans le paramètre audience et le point de terminaison /userinfo (à condition que l’API utilise RS256 comme algorithme de signature et que openid soit utilisé comme paramètre scope). Si vous n’implémentez pas votre propre serveur de ressources (API), vous pouvez utiliser https://{$account.namespace}/userinfo comme paramètre audience, qui renverra un jeton d’accès opaque.

En savoir plus

I