Saltar al contenido principal
POST /oauth/token Este es el flujo que usan las aplicaciones móviles para acceder a una API. Use este endpoint para intercambiar un código de autorización por un token.

Observaciones

  • Para mejorar la compatibilidad de las aplicaciones, Auth0 ahora devolverá la información del perfil en un formato estructurado de claims, tal como lo define la especificación OIDC. Esto significa que, para agregar claims personalizados a los ID tokens o tokens de acceso, deben ajustarse a un formato con espacio de nombres para evitar posibles colisiones con claims estándar de OIDC.
  • Incluye offline_access en el parámetro de solicitud scope para obtener un token de actualización desde POST /oauth/token. Asegúrate de que el campo Allow Offline Access esté habilitado en la configuración de la API.
  • El valor de redirect_uri debe especificarse como una URL de callback válida en la configuración de tu aplicación.
  • La autenticación silenciosa te permite realizar un flujo de autenticación en el que Auth0 solo responderá con redirecciones y nunca con una página de inicio de sesión. Cuando un token de acceso haya expirado, la autenticación silenciosa puede usarse para obtener uno nuevo sin interacción del usuario, siempre que la sesión de SSO del usuario no haya expirado.

Más información

Parámetros

DPoP
string
Una prueba DPoP para la solicitud. Es opcional y solo se requiere si su aplicación usa Demonstrating Proof-of-Possession.

Cuerpo de la solicitud

grant_type
string
requerido
Indica el flujo que está usando. Para Código de autorización (PKCE), use authorization_code.Valores permitidos: authorization_code
client_id
string
requerido
El ID de cliente de su aplicación.
code
string
requerido
El código de autorización recibido en la llamada inicial a /authorize.
code_verifier
string
requerido
Clave aleatoria criptográficamente segura utilizada para generar el code_challenge enviado a /authorize.
redirect_uri
string
Solo es obligatorio si se estableció en el endpoint GET /authorize.

Respuesta

EstadoDescripción
200Intercambio del token realizado correctamente.
defaultError inesperado