Ces outils Auth0 vous aident à modifier votre application pour qu’elle authentifie des utilisateurs :
- Les Quickstarts (Guides de démarrage rapide) constituent la façon la plus facile d’implémenter l’authentification. Ils vous expliquent comment utiliser Universal Login (Connexion universelle) et le language Auth0, ainsi que les trousses SDK spécifiques au cadre d’applications.
- API d’authentification Auth0 est une référence pour ceux qui préfèrent écrire du code séparément. Tout d’abord, déterminez le flux à utiliser. Ensuite, suivez les instructions d’implémentation de ce flux.
Exemple de requête POST au jeton URL
Paramètres
Response (Réponse)
Vous recevrez une réponseHTTP 200 avec une charge utile contenant les valeurs access_token, token_type et expires_in :
Contrôler l’audiance du jeton d’accès
Lorsqu’un utilisateur s’authentifie, vous demandez un jeton d’accès et incluez l’ cible et la permission de l’accès dans votre demande. L’application utilise le point de terminaison/authorize pour demander l’accès. Cet accès est à la fois demandé par l’application et accordé par l’utilisateur lors de l’authentification.
Vous pouvez configurer votre locataire pour qu’il inclue toujours une audience par défaut.
Dans une seule instance particulière, les jetons d’accès peuvent avoir plusieurs audiences cibles. Cela nécessite que l’algorithme de signature de votre API personnalisée soit défini sur RS256. Pour en savoir plus, consultez Meilleures pratiques en matière de jetons.
Audiences multiples
Si vous spécifiez une audience pour l’identifiant de votre API personnalisé et une permissionopenid, la demande aud du jeton d’accès résultant sera un tableau plutôt qu’une chaîne, et le jeton d’accès sera valide à la fois pour votre API personnalisée et pour le point de terminaison/userinfo. Vos jetons d’accès ne peuvent avoir deux audiences ou plus que si vous utilisez une seule API personnalisée ainsi que le point de terminaison /userinfo lié à Auth0.
Domaines personnalisés et Management API Auth0
Auth0 émet des jetons avec une demande de l’émetteur (iss) du domaine que vous avez utilisé lors de la demande du jeton. Les utilisateurs de domaines personnalisés peuvent utiliser leur domaine personnalisé ou leur domaine Auth0.
Par exemple, supposons que vous ayez un domaine personnalisé, https://login.northwind.com. Si vous demandez un jeton d’accès à partir de https://login.northwind.com/authorize, la demande iss de votre jeton sera https://login.northwind.com/. Cependant, si vous demandez un jeton d’accès à partir de https://northwind.auth0.com/authorize, la demande iss de votre jeton sera https://northwind.auth0.com/.
Si vous demandez un jeton d’accès à partir de votre domaine personnalisé avec l’audience cible de Auth0, vous devez appeler Management API Auth0 à partir de votre domaine personnalisé. Sinon, votre jeton d’accès est considéré comme invalide.