Ces outils Auth0 vous aident à modifier votre application pour qu’elle authentifie des utilisateurs :
- Les Quickstarts (Guides de démarrage rapide) constituent la façon la plus facile d’implémenter l’authentification. Ils vous expliquent comment utiliser Universal Login (Connexion universelle) et le language Auth0, ainsi que les trousses SDK spécifiques au cadre d’applications.
- API d’authentification Auth0 est une référence pour ceux qui préfèrent écrire du code séparément. Tout d’abord, déterminez le flux à utiliser. Ensuite, suivez les instructions d’implémentation de ce flux.
Exemple de requête POST au jeton URL
Paramètres
| Nom du paramètre | Description |
|---|---|
grant_type | Définissez sur « client_credentials ». |
client_id | L’ID client de votre application. Vous pouvez trouver cette valeur dans l’onglet des paramètres de l’application. |
client_secret | Le secret client de votre application. Vous pouvez trouver cette valeur dans l’onglet des paramètres de l’application. Pour en savoir plus sur les méthodes d’authentification des applications disponibles, veuillez consulter Informations d’identification de l’application . |
audience | L’audience du jeton, qui est votre API. Vous pouvez le trouver dans le champ Identifier de votre onglet Paramètres de l’API. |
organization | Facultatif. Le nom de l’organisation ou l’identifiant auquel vous souhaitez que la demande soit associée. Pour en savoir plus, lisez Accès de communication entre machines pour les Organizations. |
Response (Réponse)
Vous recevrez une réponseHTTP 200 avec une charge utile contenant les valeurs access_token, token_type et expires_in :
Validez vos jetons avant de les enregistrer. Pour en savoir plus, lisez Valider les jetons d’ID et Valider les jetons d’accès.
Contrôler l’audiance du jeton d’accès
Lorsqu’un utilisateur s’authentifie, vous demandez un jeton d’accès et incluez l’ cible et la permission de l’accès dans votre demande. L’application utilise le point de terminaison/authorize pour demander l’accès. Cet accès est à la fois demandé par l’application et accordé par l’utilisateur lors de l’authentification.
Vous pouvez configurer votre locataire pour qu’il inclue toujours une audience par défaut.
| Utilisation des jetons | Format | Public demandé | Permission demandée |
|---|---|---|---|
Point de terminaison /userinfo | Opaque | Opaque | nom du locataire ({yourDomain}), aucune valeur pour le paramètre audience, aucun paramètre audience transmis |
| Auth0 Management API | JWT | Identifiant de l’Auth0 Management API v2 (https://{tenant}.auth0.com/api/v2/) |
Audiences multiples
Si vous spécifiez une audience pour l’identifiant de votre API personnalisé et une permissionopenid, la demande aud du jeton d’accès résultant sera un tableau plutôt qu’une chaîne, et le jeton d’accès sera valide à la fois pour votre API personnalisée et pour le point de terminaison/userinfo. Vos jetons d’accès ne peuvent avoir deux audiences ou plus que si vous utilisez une seule API personnalisée ainsi que le point de terminaison /userinfo lié à Auth0.
Domaines personnalisés et Management API Auth0
Auth0 émet des jetons avec une demande de l’émetteur (iss) du domaine que vous avez utilisé lors de la demande du jeton. Les utilisateurs de domaines personnalisés peuvent utiliser leur domaine personnalisé ou leur domaine Auth0.
Par exemple, supposons que vous ayez un domaine personnalisé, https://login.northwind.com. Si vous demandez un jeton d’accès à partir de https://login.northwind.com/authorize, la demande iss de votre jeton sera https://login.northwind.com/. Cependant, si vous demandez un jeton d’accès à partir de https://northwind.auth0.com/authorize, la demande iss de votre jeton sera https://northwind.auth0.com/.
Si vous demandez un jeton d’accès à partir de votre domaine personnalisé avec l’audience cible de Auth0, vous devez appeler Management API Auth0 à partir de votre domaine personnalisé. Sinon, votre jeton d’accès est considéré comme invalide.