Saltar al contenido principal
Este documento analiza los alcances incluidos en el protocolo de autenticación Connect (OIDC). Para obtener más información sobre OIDC, consulte el protocolo OpenID Connect. Una aplicación utiliza los alcances de OpenID Connect (OIDC) durante la autenticación para autorizar el acceso a los datos de un usuario, como su nombre y su imagen. Cada scope devuelve un conjunto de atributos del usuario, que se denominan claims. Los alcances que una aplicación debe solicitar dependen de los atributos del usuario que necesite. Una vez que el usuario autoriza los alcances solicitados, los claims se devuelven en un y también están disponibles a través del endpoint /userinfo. Por ejemplo, supongamos que ha creado una aplicación web tradicional, la ha registrado en Auth0 y la ha configurado para permitir que un usuario inicie sesión con un username y una contraseña. Una vez que el usuario inicie sesión en su aplicación, quiere generar y enviar automáticamente un correo electrónico de bienvenida personalizado que incluya su nombre.
  1. Un usuario hace clic en Iniciar sesión en su aplicación.
  2. Su aplicación redirige al usuario al Servidor de autorización de Auth0 (endpoint /authorize) e incluye los siguientes alcances:
    • openid (obligatorio; para indicar que la aplicación pretende usar OIDC para verificar la identidad del usuario)
    • profile (para que pueda personalizar el correo electrónico con el nombre del usuario)
    • email (para saber adónde enviar el correo electrónico de bienvenida)
  3. El Servidor de autorización de Auth0 redirige al usuario a la pantalla de inicio de sesión.
  4. El usuario se autentica y ve una página de consentimiento en la que se enumeran los alcances que Auth0 otorgará a su aplicación, incluido el acceso a la información de su perfil y a su dirección de correo electrónico.
  5. El usuario acepta y autoriza a su aplicación a tener este nivel de acceso a la información que Auth0 almacena sobre él.
  6. Su aplicación ahora tiene acceso a la información del perfil del usuario y a su dirección de correo electrónico.

Claims estándar

Los claims estándar están pensados para proporcionar a una aplicación información del usuario, como nombre, correo electrónico e imagen, y están predefinidos para el protocolo OIDC. Estos claims se devuelven en un ID Token y también están disponibles a través del endpoint /userinfo. También puede crear claims personalizados, es decir, claims que usted define, controla y agrega a un token mediante Auth0 Actions. Para obtener más información, consulte JSON Web Token Claims. El scope básico (y obligatorio) para OIDC es openid, que indica que una aplicación tiene la intención de usar el protocolo OIDC para verificar la identidad de un usuario. Además, una aplicación puede solicitar alcances adicionales si enumera los nombres de los alcances solicitados en el parámetro scope, separados por espacios. A continuación se enumeran los claims estándar incluidos en los alcances más utilizados, pero para obtener una lista completa de los claims estándar disponibles, consulte OIDC specification: Standard Claims on openid.net. Para obtener una lista completa de alcances, consulte OIDC specification: Requesting Claims Using Scope Values on openid.net.
AlcanceClaims
openid(obligatorio) Devuelve el claim sub, que identifica de forma única al usuario. En un ID Token, también estarán presentes los claims iss, aud, exp, iat y at_hash. Para obtener más información sobre los claims del ID Token, consulte ID Token Structure.
profileDevuelve claims que representan información básica del perfil, incluidos name, family_name, given_name, middle_name, nickname, picture y updated_at.
emailDevuelve el claim email, que contiene la dirección de correo electrónico del usuario, y email_verified, que es un valor booleano que indica si la dirección de correo electrónico fue verificada por el usuario.
Para ver un ejemplo de cómo solicitar claims estándar para su aplicación, consulte Sample Use Cases: alcances and Claims.

Más información