Saltar al contenido principal
Las aplicaciones que pueden almacenar de forma segura las Credenciales del cliente pueden beneficiarse del uso del Flujo híbrido (definido en la especificación de OpenID Connect, sección 3.3). El Flujo híbrido permite que su aplicación tenga acceso inmediato a un , a la vez que garantiza la recuperación segura de y . Esto puede ser útil en situaciones en las que su aplicación necesita acceder de inmediato a información sobre el usuario, pero debe realizar cierto procesamiento antes de obtener acceso a recursos protegidos durante un período prolongado.

Cómo funciona

El flujo híbrido combina pasos del Implicit Flow with Form Post y del flujo de código de autorización:
  1. El usuario selecciona Login en la aplicación.
  2. La aplicación redirige al usuario al Servidor de autorización de Auth0 (endpoint /authorize), y pasa el parámetro response_type, que indica el tipo de credencial solicitada (ID token y código de autorización), y el parámetro response_mode con el valor form_post para garantizar la seguridad.
  3. El Servidor de autorización de Auth0 redirige al usuario a la pantalla de inicio de sesión y autorización.
  4. El usuario se autentica con una de las opciones de inicio de sesión configuradas y puede ver una pantalla de consentimiento con la lista de permisos que Auth0 otorgará a la aplicación.
  5. El Servidor de autorización de Auth0 redirige al usuario de regreso a la aplicación con un código de autorización de un solo uso y un ID token, un token de acceso o ambos, según el valor de response_type proporcionado.
  6. La aplicación envía el código de autorización, el ID de cliente de la aplicación y las credenciales de la aplicación, como el Secreto del cliente o un JWT de clave privada, al Servidor de autorización de Auth0 (endpoint /oauth/token).
  7. El Servidor de autorización de Auth0 verifica el código de autorización, el ID de cliente de la aplicación y las credenciales de la aplicación.
  8. El Servidor de autorización de Auth0 responde con un segundo ID token y un token de acceso (y, opcionalmente, un token de actualización).
  9. La aplicación puede usar el segundo token de acceso para llamar a una API y acceder a información sobre el usuario.
  10. La API responde con los datos solicitados.
Si su aplicación solo necesita usar flujo híbrido para el inicio de sesión, no necesitará un Token de actualización ni un Token de acceso, solo un ID Token con claims.

Cómo implementarlo

Puedes seguir nuestro tutorial para usar la Authentication API y llamar a tu API mediante el flujo híbrido.

Más información