Saltar al contenido principal
POST /oauth/token Custom Token Exchange (CTE) proporciona un mecanismo para que las aplicaciones intercambien tokens de identidad existentes por tokens de Auth0 mediante la invocación del endpoint /oauth/token, de conformidad con las especificaciones de RFC 8693. Esta funcionalidad es clave para abordar requisitos avanzados de integración, como intercambiar tokens de Auth0 existentes para acceder a otra audiencia en nombre del mismo usuario, facilitar la integración de proveedores de identidad externos o permitir una migración fluida de usuarios a la plataforma Auth0. El proceso de intercambio es totalmente configurable, ya que los desarrolladores pueden controlar sus detalles mediante lógica personalizada que se ejecuta en una Action de Auth0 dedicada al caso de uso correspondiente.
Custom Token Exchange está disponible actualmente en acceso anticipado. Al usar esta funcionalidad, aceptas los términos aplicables de la prueba gratuita del Master Subscription Agreement de Okta. Es tu responsabilidad validar de forma segura el subject_token del usuario. Consulta la Guía del usuario para obtener más detalles.

Observaciones

  • Los alcances otorgados a la aplicación pueden diferir de los alcances solicitados. En este caso, se incluirá un parámetro scope en la respuesta JSON. Los alcances se filtran como se explica en Políticas de acceso a la API para aplicaciones
  • subject_token_type debe corresponder a un perfil existente de Custom Token Exchange y a una Action asociada.
  • En el caso de las aplicaciones no confidenciales que no pueden mantener protegido el Secreto del cliente (por ejemplo, las aplicaciones nativas), el endpoint permite no enviar ningún Secreto del cliente, pero la propia aplicación debe tener la propiedad tokenEndpointAuthMethod establecida en none. Puede hacerlo desde la interfaz de usuario (Dashboard > Applications > configuración de la aplicación) o mediante la Management API.
  • Debe habilitar Custom Token Exchange para su aplicación. Para obtener más información, consulte la documentación de Custom Token Exchange.

Parámetros

DPoP
string
Una prueba DPoP para la solicitud. Es opcional y solo se requiere si su aplicación usa Demonstrating Proof-of-Possession.
auth0-forwarded-for
string
La dirección IP del usuario final como cadena. Defina este valor si quiere que la protección de Suspicious IP Throttling funcione en escenarios del lado del servidor.

Cuerpo de la solicitud

grant_type
string
requerido
Indica el flujo que usa. Para Custom Token Exchange, use urn:ietf:params:oauth:grant-type:token-exchange.Valores permitidos: urn:ietf:params:oauth:grant-type:token-exchange
subject_token_type
string
requerido
El tipo del token de sujeto. Para Custom Token Exchange, puede ser cualquier URI dentro de un espacio de nombres de su propiedad, como http://acme.com/legacy-token o urn:acme:legacy-token. Los siguientes espacios de nombres están reservados y no se pueden usar: http://auth0.com, https://auth0.com, http://okta.com, https://okta.com, urn:ietf, urn:auth0, urn:okta.
subject_token
string
requerido
El token de sujeto, que su Action debe validar y usar para identificar al usuario.
client_id
string
requerido
El ID de cliente de su aplicación. Al igual que con otros tipos de grant, también puede enviar el ID de cliente en el encabezado Authorization mediante HTTP Basic Auth.
client_secret
string
(Opcional) El secreto del cliente de su aplicación. Al igual que con otros tipos de grant, también puede enviar el secreto del cliente en el encabezado Authorization mediante HTTP Basic Auth. También hay otras alternativas, como se explica en la documentación de referencia de Authentication API de Auth0. Como Custom Token Exchange puede ser utilizado por aplicaciones públicas, lea Protección contra ataques para implementar medidas de seguridad adicionales.
audience
string
(Opcional) El identificador único de la API de destino a la que desea acceder. Si no se especifica, se usará la audiencia predeterminada del inquilino, según la configuración de Configuración del inquilino.
resource
string
(Opcional) El identificador de la API de destino (servidor de recursos) a la que desea acceder. Debe coincidir con un identificador de API registrado en su inquilino de Auth0. Se usa como alternativa a audience cuando el Perfil de compatibilidad del parámetro resource del inquilino está configurado en compatibility.
scope
string
(Opcional) El parámetro scope de OAuth2.
organization
string
(Opcional) La organización o el identificador con el que desea asociar la solicitud. Como alternativa, puede especificar un nombre de organización si Use Organization Names in Authentication API está habilitado.

Respuesta

EstadoDescripción
200Respuesta exitosa