Saltar al contenido principal
POST /oauth/token
Este flujo solo debe usarse desde aplicaciones de alta confianza que no pueden usar redirecciones. Si su aplicación puede usar flujos basados en redirección, le recomendamos usar el flujo de código de autorización en su lugar.
Este es el tipo de concesión de OAuth 2.0 que usan las aplicaciones de alta confianza para acceder a una API. En este flujo, se solicita al usuario final que introduzca sus credenciales (username/contraseña), normalmente mediante un formulario interactivo en el agente de usuario (navegador). Esta información se envía al backend y, desde allí, a Auth0. Por lo tanto, es imprescindible que la aplicación sea totalmente confiable para gestionar esta información.

Encabezados de la solicitud

ParámetroDescripción
auth0-forwarded-forLa IP del usuario final como valor de cadena. Establézcalo si desea que la protección contra ataques de fuerza bruta funcione en escenarios del lado del servidor.

Respuestas

200

Una solicitud exitosa devuelve el token de acceso. 
HTTP/1.1 200 OK
Content-Type: application/json
{
  "access_token":"eyJz93a...k4laUWw",
  "token_type":"Bearer",
  "expires_in":86400
}

Observaciones

  • Los alcances emitidos a la aplicación pueden diferir de los alcances solicitados. En este caso, se incluirá un parámetro scope en el JSON de respuesta.
  • Si no se solicitan alcances específicos, se devolverán todos los alcances definidos para la audiencia debido a la confianza implícita otorgada a la aplicación en este flujo.
  • Para agregar compatibilidad con realm, establezca grant_type en http://auth0.com/oauth/grant-type/password-realm y realm en el realm al que pertenece el usuario. Esto se asigna a una conexión en Auth0.
  • Además del nombre de usuario y la contraseña, Auth0 puede requerir que el usuario final proporcione un factor adicional como prueba de identidad. La solicitud puede devolver un error mfa_required junto con un mfa_token para la autenticación multifactor.

Más información

Parámetros

DPoP
string
Una prueba DPoP para la solicitud. Es opcional y solo se requiere si tu aplicación usa Demonstrating Proof-of-Possession.

Cuerpo de la solicitud

grant_type
string
requerido
Indica el flujo que está utilizando. Para Resource Owner Password, use password.
username
string
requerido
Identificador del propietario del recurso, como un username o una dirección de correo electrónico.
password
string
requerido
Secreto del propietario del recurso.
audience
string
El identificador único de la API de destino a la que desea acceder.
resource
string
El identificador de la API de destino (servidor de recursos) a la que desea acceder. Debe coincidir con un identificador de API registrado en su inquilino de Auth0. Se usa como alternativa a audience cuando el Resource Parameter Compatibility Profile del inquilino está configurado en compatibility.
scope
string
Valor de cadena con los distintos alcances que solicita la aplicación.
client_id
string
requerido
El ID de cliente de su aplicación.
client_secret
string
El secreto del cliente de su aplicación.
realm
string
Valor de cadena del realm al que pertenece el usuario.

Respuesta

EstadoDescripción
200Devuelve el token de acceso.