Usar tokens de acceso

se usan en la autenticación basada en tokens para permitir que una aplicación acceda a una API. Por ejemplo, una aplicación de calendario necesita acceso a una API de calendario en la nube para poder leer los eventos programados del usuario y crear nuevos eventos. Una vez que una aplicación haya recibido un token de acceso, incluirá ese token como credencial al realizar solicitudes a la API. Para ello, debe transmitir el token de acceso a la API como una credencial Bearer en un encabezado HTTP Authorization. Por ejemplo:

GET /calendar/v1/events
    Host​: api.example.com
    
    Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJodHRwczovL2V4YW1wbGUuYXV0aDAuY29tLyIsImF1ZCI6Imh0dHBzOi8vYXBpLmV4YW1wbGUuY29tL2NhbGFuZGFyL3YxLyIsInN1YiI6InVzcl8xMjMiLCJpYXQiOjE0NTg3ODU3OTYsImV4cCI6MTQ1ODg3MjE5Nn0.CA7eaHjIHz5NxeIJoFK9krqaeZrPLwmMmgI_XiQiIkQ

En este ejemplo, el Token de acceso es un que se decodifica en los siguientes claims:

{
      "alg": "RS256",
      "typ": "JWT"
    }
    .
    {
      "iss": "https://example.auth0.com/",
      "aud": "https://api.example.com/calendar/v1/",
      "sub": "usr_123",
      "scope": "read write",
      "iat": 1458785796,
      "exp": 1458872196
    }

Antes de permitir el acceso a la API con este token, la API debe validar el token de acceso. Una vez que el Token de acceso se haya validado correctamente, la API puede estar segura de que:

Auth0 emitió el token.
El token se emitió para una aplicación que utiliza un usuario con el identificador usr_123.
El usuario concedió a la aplicación acceso para leer y escribir en su calendario.

La API ya puede procesar la solicitud, lo que permite a la aplicación leer y escribir en el calendario del usuario usr_123.

​Más información

Más información