Saltar al contenido principal
Para usar las API de integradas en aplicaciones web tradicionales, asegúrate de habilitar la concesión Passwordless OTP en Auth0 Dashboard > Applications > Applications, en la configuración de tu aplicación, en Advanced Settings > Grant Types. La autenticación sin contraseña para aplicaciones web tradicionales consta de dos pasos:
  1. Captura el identificador del usuario en tu aplicación (el correo electrónico o el número de teléfono del usuario) e invoca el endpoint /passwordless/start para iniciar el flujo sin contraseña. El usuario recibirá un correo electrónico, un SMS con un código de un solo uso o un enlace mágico.
  2. Si no enviaste un enlace mágico, solicita al usuario el código de un solo uso y llama al endpoint /oauth/token para obtener tokens de autenticación.
Ten en cuenta que, al usar enlaces mágicos, no necesitas llamar a /oauth/token. El usuario hará clic en el enlace mágico y será redirigido a la URL de devolución de llamada de la aplicación. A continuación, enumeramos algunos fragmentos de código que se pueden usar para llamar a estos endpoints de API en diferentes escenarios. Enviar un código de un solo uso por correo electrónico Enviar un enlace mágico por correo electrónico Debe especificar send: link. Enviar una contraseña de un solo uso por SMS Autenticar a un usuario mediante SMS Autenticar a un usuario por correo electrónico Autentica a un usuario con un enlace mágico Cuando envías un enlace mágico, no necesitas llamar a una API para autenticar al usuario. Los usuarios harán clic en el enlace y se les redirigirá a la URL de devolución de llamada.

Configuración del encabezado auth0-forwarded-for para la limitación de tasa

El endpoint /passwordless/start tiene un límite de tasa de 50 solicitudes por hora por IP. Si llama a la API desde el lado del servidor, la IP de su backend puede alcanzar fácilmente estos límites. Para obtener más información sobre cómo abordar este problema, lea la sección Limitación de tasa en endpoints sin contraseña de Uso de las API sin contraseña.

Personalizar MFA

Personaliza con flujos embebidos. Usa la API de MFA para permitir que los usuarios se inscriban y completen desafíos con los factores compatibles con tu aplicación que elijan. Al usar Lock for Web, el endpoint oauth/token devuelve el error mfa_required e incluye el mfa_token que necesitas para usar la API de MFA, así como el parámetro mfa_requirements con una lista de los autenticadores que tu aplicación admite actualmente: 
{
  "error": "mfa_required",
  "error_description": "Multifactor authentication required",
  "mfa_token": "Fe26...Ha",
  "mfa_requirements": {
    "challenge": [
      { "type": "otp" },
      { "type": "push-notification" },
      { "type": "phone" },
      { "type": "recovery-code" }
      { "type": "email"} //solo funciona con challenge
    ]
  }
}
Usa el mfa_token para llamar al endpoint mfa/authenticator a fin de listar todos los factores en los que el usuario se ha inscrito y hacer coincidir el type con el que admite tu aplicación. También debes obtener el authenticator_type correspondiente para emitir desafíos: 
[
  {
    "type": "recovery-code",
    "id": "recovery-code|dev_qpOkGUOxBpw6R16t",
    "authenticator_type": "recovery-code",
    "active": true
  },
  {
    "type": "otp",
    "id": "totp|dev_6NWz8awwC8brh2dN",
    "authenticator_type": "otp",
    "active": true
  }
]
Continúe aplicando la comprobación de MFA llamando al endpoint request/mfa/challenge. Personalice aún más su flujo de MFA con Actions de Auth0. Para obtener más información, consulte Actions Triggers: post-challenge - API Object.