Saltar al contenido principal
Una API es una entidad que representa un recurso externo, capaz de aceptar y responder a solicitudes de recursos protegidos realizadas por aplicaciones. En la especificación OAuth2, una API se corresponde con el . En algún momento, tus APIs personalizadas deberán permitir un acceso limitado a sus recursos protegidos en nombre de los usuarios. La autorización se refiere al proceso de verificar a qué puede acceder un usuario. Aunque a menudo se usa indistintamente con la autenticación, la autorización representa una función fundamentalmente distinta. Para obtener más información, consulta Autenticación y autorización. En la autorización, se concede acceso a una API a un usuario o una aplicación después de que la API determina el alcance de los permisos que debe asignar. Por lo general, la autorización se produce después de que la identidad se valida correctamente mediante autenticación, de modo que la API tenga una idea del tipo de acceso que debe conceder. La autorización puede determinarse mediante el uso de políticas y reglas, que pueden utilizarse con control de acceso basado en roles (RBAC). Independientemente de si se usa RBAC, el acceso solicitado se transmite a la API mediante alcances, y el acceso concedido se devuelve en los emitidos. Luego, la aplicación puede usar el Token de acceso para acceder a los recursos protegidos de la API. El mismo Token de acceso puede usarse para acceder a los recursos de la API sin necesidad de volver a autenticarse hasta que expire.

Permisos de la API

Dado que solo la API puede conocer todas las acciones posibles que puede gestionar, debe contar con su propio sistema interno de control de acceso, en el que defina sus propios permisos. Para determinar los permisos efectivos de una aplicación que realiza una llamada, una API debe combinar los alcances entrantes con los permisos asignados dentro de su propio sistema interno de control de acceso y tomar las decisiones de control de acceso correspondientes.

Configurar una API

Para proteger una API, debe registrarla mediante el . Para obtener más información, consulte Registrar APIs.
Antes de registrar cualquier API en el Auth0 Dashboard, ya existirá una API: la Auth0 Management API. Para obtener más información sobre las funciones de la Management API y los endpoints disponibles, consulte Management API.

Más información