Vérifier les appels d’API

​

Vérifier les appels de Management API

• Avez-vous un jeton d’accès à Management API?
• Le jeton d’accès a-t-il expiré?
• Le jeton d’accès contenait-il les permissions nécessaires pour l’appel que vous avez passé?
• Si une règle ajuste les permissions dans le jeton d’accès ou vérifie si des utilisateurs spécifiques sont autorisés à avoir les permissions, avez-vous vérifié la règle pour vous assurer qu’elle s’exécute correctement?
• Obtenez le jeton d’accès à partir d’un fichier HAR et testez-le dans l’explorateur de Auth0 Management API pour voir s’il fonctionne.
  Avant de partager un fichier HAR avec quiconque (y compris Auth0), assurez-vous de supprimer ou d’obscurcir toutes les données sensibles, telles que :

  • les informations confidentielles de l’utilisateur
  • les informations personnelles identifiables (PII)
  • les informations confidentielles relatives à l’application

  Pour en savoir plus, consultez les articles suivants sur Communauté Auth0 :

  • Assainissement des traces HTTP
  • Comment assainir automatiquement un fichier de trace HTTP
  • Comment caviarder manuellement des informations sensibles
  • Fichier HAR trop volumineux pour être téléversé dans le dossier d’assistance
• Si vous appelez l’Auth0 Management API à partir d’une application qui s’authentifie avec un Flux des identifiants client, notez que les règles ne sont pas exécutées dans ce contexte. Pour une fonctionnalité similaire à celle d’une règle, vous pouvez utiliser une action dans le flux intermachines sur le déclencheur credentials-exchange dans ce contexte.

​

Vérifier les autres appels d’API

• Vérifier dans le fichier HAR si le jeton d’accès contient les permissions correctes pour appeler l’API.
  Avant de partager un fichier HAR avec quiconque (y compris Auth0), assurez-vous de supprimer ou d’obscurcir toutes les données sensibles, telles que :

  • les informations confidentielles de l’utilisateur
  • les informations personnelles identifiables (PII)
  • les informations confidentielles relatives à l’application

  Pour en savoir plus, consultez les articles suivants sur Communauté Auth0 :

  • Assainissement des traces HTTP
  • Comment assainir automatiquement un fichier de trace HTTP
  • Comment caviarder manuellement des informations sensibles
  • Fichier HAR trop volumineux pour être téléversé dans le dossier d’assistance
• Vérifier si la réponse à l’appel du point de terminaison /authorize contient un objet de permissions. Si c’est le cas, vérifiez si les permissions renvoyées sont différentes des permissions demandées.
• Assurez-vous que votre API peut valider le jeton d’accès. Elle doit valider l’audience, l’émetteur, le client (le cas échéant), l’algorithme de signature, la signature, les demandes et les autorisations.
• Si vous rencontrez des erreurs lors de l’expiration d’un jeton d’accès, cela peut être dû à un décalage d’horloge entre différents systèmes ou même entre différentes bibliothèques de langage, comme Java et Node.js. Ce problème peut être résolu en exécutant le protocole NTP sur les serveurs et en configurant une tolérance de décalage horaire dans les bibliothèques utilisées pour valider les jetons, comme jwt.verify.

​

En savoir plus

• Appeler votre API avec le flux de code d’autorisation avec une clé de preuve pour l’échange de code (PKCE)
• Appeler votre API à l’aide du flux de code d’autorisation
• Effectuer une requête à votre API à l’aide du Flux des identifiants client
• Appeler une API à l’aide du flux d’autorisation d’appareil