Passer au contenu principal
Ce tutoriel vous aidera à appeler votre API à partir d’une application machine-machine (M-M) à l’aide du Flux des identifiants client. Pour savoir comment fonctionne le flux et pourquoi vous devriez l’utiliser, consultez Flux des identifiants client.
Auth0 permet à votre application d’implémenter facilement le Flux des identifiants client. Une fois l’authentification réussie, l’application aura accès à un jeton d’accès, qui peut être utilisé pour appeler vos API protégées. Pour en savoir plus sur les jetons d’accès, lisez Jetons d’accès.

Prérequis

Avant de commencer ce tutoriel :

Étapes

  1. Demande de jeton : À partir de l’application autorisée, demandez un jeton d’accès pour votre API.
  2. Appel d’API : Utilisez le jeton d’accès récupéré pour appeler votre API.
Facultatif : Découvrez des cas d’utilisation

Jetons de requête

Pour accéder à votre API, vous devez demander un jeton d’accès. Pour ce faire, vous devrez faire un POST vers le jeton URL.

Exemple de POST à une URL de jeton

curl --request POST \
  --url 'https://{yourDomain}/oauth/token' \
  --header 'content-type: application/x-www-form-urlencoded' \
  --data grant_type=client_credentials \
  --data client_id=YOUR_CLIENT_ID \
  --data client_secret=YOUR_CLIENT_SECRET \
  --data audience=YOUR_API_IDENTIFIER
Paramètres
Nom du paramètreDescription
grant_typeDéfinissez sur « client_credentials ».
client_idL’ID client de votre application. Vous pouvez trouver cette valeur dans l’onglet des paramètres de l’application.
client_secretLe secret client de votre application. Vous pouvez trouver cette valeur dans l’onglet des paramètres de l’application. Pour en savoir plus sur les méthodes d’authentification des applications disponibles, veuillez consulter Informations d’identification de l’application .
audienceL’audience du jeton, qui est votre API. Vous pouvez le trouver dans le champ Identifier de votre onglet Paramètres de l’API.
organizationFacultatif. Le nom de l’organisation ou l’identifiant auquel vous souhaitez que la demande soit associée. Pour en savoir plus, lisez Accès de communication entre machines pour les Organizations.

Réponse

Si tout se passe bien, vous recevrez une réponse HTTP 200 avec une charge utile contenant les valeurs access_token, token_type et expires_in 
{
  "access_token":"eyJz93a...k4laUWw",
  "token_type":"Bearer",
  "expires_in":86400
}
Validez vos jetons avant de les enregistrer. Pour en savoir plus, lisez Valider les jetons d’ID et Valider les jetons d’accès.

Appel d’API

Pour appeler votre API à partir de l’application machine-machine (M2M), l’application doit transmettre le jeton d’accès récupéré en tant que jeton du porteur dans l’en-tête Authorization de votre requête HTTP. 
curl --request GET \
  --url https://myapi.com/api \
  --header 'authorization: Bearer ACCESS_TOKEN' \
  --header 'content-type: application/json'

Exemples de cas d’utilisation

Personnalisation des jetons

Vous pouvez utiliser des Actions pour refuser des jetons d’accès sur la base d’une logique personnalisée et/ou ajouter des demandes aux jetons d’accès. Auth0 invoque les actions liées à l’octroi des identifiants du client au moment de l’exécution pour exécuter votre logique personnalisée. Pour en savoir plus sur les actions, lisez Flux machine-machine.

Consultez un exemple d’application serveur client + API

Pour un exemple de mise en œuvre, consultez le scénario d’architecture Serveur Client + API. Cette série de tutoriels est accompagnée d’un exemple de code que vous pouvez consulter sur GitHub. Une fois que votre API a reçu une demande avec un jeton d’accès, elle doit valider le jeton. Pour en savoir plus, consultez Valider les jetons d’accès.

En savoir plus

I