Skip to main content
En determinados casos, es posible que quieras usar la Management API de Auth0 para administrar tus aplicaciones y API en lugar del panel de administración de Auth0. Para llamar a cualquier endpoint de la , debes autenticarte con un Token de acceso especializado llamado token de la Management API. Los tokens de la Management API son JSON Web Tokens (JWTs) que contienen permisos específicos concedidos (también conocidos como alcances) para los endpoints de la Management API que quieres invocar.

Limitaciones

Dado que las aplicaciones de página única (SPA) son y no pueden almacenar información confidencial de forma segura (como un ), deben obtener tokens de la Management API desde el frontend, a diferencia de otros tipos de aplicaciones. Esto significa que los tokens de la Management API para las SPA tienen ciertas limitaciones. En concreto, se emiten en el contexto del usuario que tiene una sesión iniciada en Auth0 en ese momento, lo que limita las actualizaciones únicamente a los datos de ese usuario. Aunque esto restringe el uso de la Management API, aún puede usarse para realizar acciones relacionadas con la actualización del perfil del usuario que ha iniciado sesión.
Auth0 no recomienda incluir en el frontend tokens de la Management API que permitan a los usuarios cambiar sus metadatos. Esto puede permitir que los usuarios manipulen sus propios metadatos de una forma que podría perjudicar el funcionamiento de las aplicaciones. También permite que un cliente realice un ataque DoS contra la Management API de otra persona simplemente saturándola hasta alcanzar los límites de tasa.

Alcances y endpoints disponibles

Con un token de la Management API emitido para una SPA, puedes acceder a los siguientes alcances (y, por lo tanto, a los endpoints correspondientes).
No es posible cambiar la contraseña a través del endpoint PATCH /api/v2/users/ con un token de la Management API emitido para una SPA.
Alcance del usuario actualEndpoint
read:current_userGET /api/v2/users/
GET /api/v2/users//enrollments
update:current_user_identitiesPOST/api/v2/users//identities
DELETE /api/v2/users//identities//
update:current_user_metadataPATCH /api/v2/users/
create:current_user_metadataPATCH /api/v2/users/
create:current_user_device_credentialsPOST /api/v2/device-credentials
delete:current_user_device_credentialsDELETE /api/v2/device-credentials/
Los alcances y endpoints anteriores están sujetos a límites de velocidad.

Usa un token de la Management API para llamar a la Management API desde una SPA

Puedes obtener un token de la Management API desde una SPA (usando la de la Management API para generarlo) y usarlo para llamar a la Management API y recuperar el perfil completo del usuario que ha iniciado sesión.
  1. Obtén un token de la Management API.
    1. Autentica al usuario redirigiéndolo al endpoint de autorización, adonde se envía a los usuarios cuando inician sesión o se registran.
    2. Cuando recibas el token de la Management API, estará en formato JSON Web Token.
    3. Decodifícalo y revisa su contenido.
  2. Llama a la Management API para recuperar el perfil del usuario que ha iniciado sesión desde el endpoint Get User by ID.
    1. Para llamar al endpoint, incluye el token codificado de la Management API que obtuviste en el encabezado Authorization de la solicitud.
    2. Asegúrate de reemplazar los valores de marcador de posición USER_ID y MGMT_API_ACCESS_TOKEN por el ID del usuario que ha iniciado sesión (el valor sub del token de la Management API decodificado) y el token de acceso de la Management API, respectivamente.

Más información