Saltar al contenido principal
GET /authorize Para iniciar un flujo de autorización OAuth 2.0, su aplicación primero debe dirigir al usuario a la URL de autorización.

Endpoint de autorización

El objetivo de esta llamada es obtener el consentimiento del usuario para invocar la API (especificada en audience) y realizar determinadas acciones (especificadas en scope) en nombre del usuario. Auth0 autenticará al usuario y obtendrá su consentimiento, a menos que ya lo haya otorgado previamente. Si modificas el valor de scope, Auth0 requerirá que se vuelva a otorgar el consentimiento. Los flujos de OAuth 2.0 que requieren autorización del usuario son: Resource Owner Password Grant y Client Credentials Flow no usan este endpoint, ya que no implican la autorización del usuario. En su lugar, invocan directamente el endpoint POST /oauth/token para obtener un token de acceso. Según el flujo de OAuth 2.0 que estés implementando, los parámetros varían ligeramente. Para determinar qué flujo se adapta mejor a tu caso, consulta: ¿Qué flujo de OAuth 2.0 debo usar?.

Parámetros

audience
string
requerido
El identificador único de la API de destino a la que quieres acceder.
resource
string
El identificador de la API de destino (servidor de recursos) a la que quieres acceder. Debe coincidir con un Identificador de API registrado en tu tenant de Auth0. Se usa como alternativa a audience cuando el perfil de compatibilidad del parámetro Resource del tenant está configurado en compatibility.
scope
string
Los scopes para los que quieres solicitar autorización. Deben estar separados por espacios. Puedes solicitar scopes estándar de OpenID Connect (OIDC), claims personalizados o cualquier scope compatible con la API de destino. Incluye offline_access para obtener un Refresh Token.
response_type
string
requerido
Indica a Auth0 qué flujo de OAuth 2.0 quieres ejecutar. Usa ‘code’ para el flujo Authorization Code Grant.
client_id
string
requerido
El ID de tu aplicación.
redirect_uri
string
La URL a la que Auth0 redirigirá el navegador después de que el usuario haya otorgado la autorización.
state
string
Un valor opaco que la aplicación añade a la solicitud inicial y que Auth0 incluye al redirigir de vuelta a la aplicación. La aplicación debe usar este valor para prevenir ataques CSRF.
connection
string
El nombre de la conexión configurada para tu aplicación.
prompt
string
Para iniciar una solicitud de autenticación silenciosa, usa ‘prompt=none’.
organization
string
El ID de la organización que se usará al autenticar a un usuario. Si no se proporciona y tu aplicación está configurada para Mostrar aviso de organización, el usuario podrá introducir el nombre de la organización al autenticarse.
invitation
string
El ID del ticket de invitación de la organización. Al invitar a un miembro a una organización, tu aplicación debe gestionar la aceptación de la invitación reenviando los pares clave-valor invitation y organization cuando el usuario la acepte.
dpop_jkt
string
La huella digital JWK [RFC7638] de la clave pública de prueba de posesión mediante la función hash SHA-256. Solo cuando se usa Demonstrating Proof-of-Possession (DPoP).

Respuesta

EstadoDescripción
302Redirección con código de autorización