Saltar al contenido principal
El flujo de código de autorización (definido en OAuth 2.0 RFC 6749, sección 4.1) consiste en intercambiar un código de autorización por un token. Este flujo solo puede usarse para aplicaciones confidenciales (como las aplicaciones web tradicionales), ya que los métodos de autenticación de la aplicación se incluyen en el intercambio y deben mantenerse seguros.

Cómo funciona el flujo de código de autorización

Auth - Flujo de código de autorización - Diagrama de secuencia de autorización
  1. El usuario selecciona Login en la aplicación.
  2. El SDK de Auth0 redirige al usuario al Servidor de autorización de Auth0 (endpoint /authorize).
  3. El Servidor de autorización de Auth0 redirige al usuario a la pantalla de inicio de sesión y autorización.
  4. El usuario se autentica con una de las opciones de inicio de sesión configuradas y puede ver una pantalla de consentimiento con la lista de permisos que Auth0 otorgará a la aplicación.
  5. El Servidor de autorización de Auth0 redirige al usuario de nuevo a la aplicación con un código de autorización de un solo uso.
  6. El SDK de Auth0 envía el código de autorización, el ID de cliente de la aplicación y las credenciales de la aplicación, como el secreto del cliente o Private Key JWT, al Servidor de autorización de Auth0 (endpoint /oauth/token).
  7. El Servidor de autorización de Auth0 verifica el código de autorización, el ID de cliente de la aplicación y las credenciales de la aplicación.
  8. El Servidor de autorización de Auth0 responde con un token de ID y un token de acceso (y, opcionalmente, un Token de actualización).
  9. La aplicación puede usar el token de acceso para llamar a una API y acceder a información sobre el usuario.
  10. La API responde con los datos solicitados.

Cómo implementar el flujo de código de autorización

La forma más sencilla de implementar el flujo de código de autorización es seguir nuestras guías de inicio rápido para aplicaciones web tradicionales. Como alternativa, puede usar la API de autenticación para implementar el flujo de código de autorización. Para obtener más información, consulte Agregar inicio de sesión mediante el flujo de código de autorización o Llamar a su API mediante el flujo de código de autorización.
Si una aplicación de navegador con un encabezado Origin realiza una solicitud POST al endpoint /oauth/token, Auth0 no emite Tokens de actualización, incluso si la aplicación tiene habilitada la opción Permitir la rotación del Token de actualización y envía el scope offline_access.

Más información