Saltar al contenido principal
POST /oauth/par
Para usar las funciones de Highly Regulated Identity, debe contar con un plan Enterprise y el add-on Highly Regulated Identity. Consulte Auth0 Pricing para obtener más información.
El Flujo de código de autorización con solicitudes de autorización push (PAR) usa el endpoint /oauth/par para permitir que las aplicaciones envíen los parámetros de autorización que normalmente se envían en una solicitud GET a /authorize. PAR usa un método POST desde el backend para mantener seguros los valores de los parámetros. El endpoint /oauth/par acepta todos los parámetros de autorización que pueden proporcionarse a /authorize. Si la llamada al endpoint /oauth/par es válida, Auth0 responderá con un valor redirect_uri que puede usarse como parámetro para el endpoint /authorize. Si la llamada al endpoint /oauth/par es válida, Auth0 responderá con un valor redirect_uri que también se usa como parámetro para el endpoint /authorize. Para obtener más información sobre cómo configurar PAR, consulte Configurar solicitudes de autorización push (PAR).

Observaciones

  • Para llamar al endpoint PAR, debe:
    • Establecer el tipo de contenido de la solicitud en application/x-www-form-urlencoded
    • Usar cadenas para todos los parámetros enviados
    • Incluir en la solicitud un parámetro adicional para la autenticación de la aplicación (por ejemplo, client_secret, o client_assertion y client_assertion_type para la autenticación de cliente mediante JSON Web Token, o enviar los encabezados client-certificate y client-certificate-ca-verified cuando use Mutual TLS).
  • Use el parámetro authorization_details para solicitar permisos para cada recurso. Por ejemplo, puede especificar un array de objetos JSON para transmitir información detallada sobre la autorización. Cada objeto JSON debe contener un atributo type. El resto queda a su criterio.

Parámetros

DPoP
string
Una prueba de DPoP para la solicitud. Es opcional y solo se requiere si su aplicación usa DPoP (Demonstrating Proof-of-Possession).

Cuerpo de la solicitud

authorization_details
string
Permisos solicitados para cada recurso, similares a los alcances.
audience
string
El identificador único de la API de destino a la que quiere acceder.
resource
string
El identificador de la API de destino (servidor de recursos) a la que quiere acceder. Debe coincidir con un identificador de API registrado en su inquilino de Auth0. Se usa como alternativa a audience cuando el perfil de compatibilidad del parámetro Resource del inquilino está configurado como compatibility.
response_type
string
requerido
Especifica el tipo de token, por ejemplo, code o code id_token. Obligatorio.
client_id
string
requerido
El client_id de su aplicación. Obligatorio.
redirect_uri
string
requerido
La URL a la que Auth0 redirigirá una vez concedida la autorización. Obligatorio.
state
string
Un valor opaco que se usa para evitar ataques CSRF. Recomendado.
scope
string
Alcances de OIDC y alcances personalizados de la API. Recomendado.
code_challenge
string
Desafío generado a partir de code_verifier. Recomendado.
code_challenge_method
string
Método usado para generar el desafío, normalmente S256. Recomendado.
nonce
string
Se usa para evitar ataques de reproducción de tokens. Recomendado para response_type=id_token.
connection
string
El nombre de la conexión configurada para su aplicación.
prompt
string
Se usa para forzar una pantalla específica, por ejemplo, prompt=consent.
organization
string
ID de la organización que se usará al autenticar a un usuario.
dpop_jkt
string
La huella digital JWK RFC7638 de la clave pública de prueba de posesión, mediante la función hash SHA-256. Solo cuando se usa Demonstrating Proof-of-Possession (DPoP).

Respuesta

EstadoDescripción
201La solicitud se ha realizado correctamente; devuelve el URI de la solicitud y el tiempo de expiración.