Saltar al contenido principal
POST /oauth/token
Este flujo está pensado para usarse solo con interacciones sociales nativas. Se desaconseja encarecidamente usar este flujo fuera de un contexto social nativo.
Cuando una solución no basada en navegador (como el SDK de una plataforma móvil) autentica al usuario, normalmente la autenticación da lugar a artefactos que se devuelven al código de la aplicación. En esas situaciones, este tipo de concesión permite que la plataforma Auth0 acepte artefactos de fuentes de confianza y emita tokens en respuesta. De este modo, las aplicaciones que usan mecanismos de autenticación no basados en navegador (como suele ocurrir en las aplicaciones nativas) pueden seguir obteniendo tokens de Auth0 sin requerir más interacción del usuario. Los artefactos devueltos por este flujo (y su contenido) estarán determinados por subject_token_type y por la configuración del Tenant.

Observaciones

  • Los alcances emitidos para la aplicación pueden diferir de los alcances solicitados. En este caso, se incluirá un parámetro scope en el JSON de respuesta.
  • Si no solicita alcances específicos, se devolverán todos los alcances definidos para la audiencia debido a la confianza implícita otorgada a la aplicación en esta concesión. Puede personalizar los alcances devueltos en una Rule. Para obtener más información, consulte Llamar a las API desde aplicaciones de alta confianza.

Más información

Parámetros

DPoP
cadena
Una prueba DPoP para la solicitud. Es opcional y solo se requiere si su aplicación usa Demonstrating Proof-of-Possession.

Cuerpo de la solicitud

auth0-forwarded-for
string
IP del usuario final como valor de cadena. Establezca este parámetro si quiere que la protección contra ataques de fuerza bruta funcione en escenarios del lado del servidor. Para obtener más información sobre cómo y cuándo usar este encabezado, consulte Uso de Resource Owner Password desde el lado del servidor.
grant_type
string
requerido
Indica el flujo que está usando. Para Intercambio de tokens para autenticación social nativa, use urn:ietf:params:oauth:grant-type:token-exchange.
subject_token
string
requerido
Artefacto de identidad emitido externamente que representa al usuario.
subject_token_type
string
requerido
Identificador que indica el tipo de subject_token.
client_id
string
requerido
El ID de cliente de su aplicación.
audience
string
El identificador único de la API de destino a la que desea acceder.
resource
string
El identificador de la API de destino (servidor de recursos) a la que desea acceder. Debe coincidir con un identificador de API registrado en su Tenant de Auth0. Se usa como alternativa a audience cuando el perfil de compatibilidad del parámetro Resource del Tenant está configurado como compatibility.
scope
string
Valor de cadena de los distintos alcances que solicita la aplicación. Los alcances múltiples se separan con espacios en blanco.
user_profile
object
Elemento opcional que se usa para interacciones nativas de iOS en las que pueden producirse actualizaciones del perfil. El valor esperado del parámetro será JSON con la forma: { name: { firstName: 'John', lastName: 'Smith' }}.

Respuesta

EstadoDescripción
200Respuesta exitosa
defaultError inesperado