Autenticar
Administrar usuarios
Personalizar
Auth0 AI
PlataformaLos tokens de acceso del Proveedor de identidad (IdP) no requieren validación. Pase el token de acceso del IdP al IdP emisor para que gestione la validación. Para obtener más información, consulte Tokens de acceso del Proveedor de identidad.
401 Unauthorized.
- Realice la validación estándar del JWT. Como el token de acceso es un JWT, debe realizar los pasos estándar de validación de JWT. Consulte Validate JSON Web Tokens para obtener más información.
-
Verifique las claims de audiencia del token. Si ya realizó la validación estándar de JWT, ya habrá decodificado la carga útil del JWT y revisado sus claims estándar. La claim de audiencia del token (
aud, array de cadenas) depende de la solicitud inicial del token. El campoaudpuede contener tanto una audiencia correspondiente a su API personalizada como una audiencia correspondiente al endpoint/userinfo. Al menos uno de los valores de audiencia del token debe coincidir con el identificador único de la API de destino, tal como se define en la configuración de su API, en el campo Identifier. Consulte Get Access Tokens para obtener más información. -
Verifique los permisos (alcances). Verifique que a la aplicación se le hayan concedido los permisos necesarios para acceder a su API. Para ello, debe comprobar la claim
scope(scope, lista de cadenas separadas por espacios) en la carga útil del JWT decodificado. Debe coincidir con los permisos requeridos para el endpoint al que se accede. Por ejemplo, si su API personalizada proporciona tres endpoints para leer, crear o eliminar un registro de usuario, cuando registró su API en Auth0, creó tres permisos correspondientes:create:usersproporciona acceso al endpoint/createread:usersproporciona acceso al endpoint/readdelete:usersproporciona acceso al endpoint/delete
/create, pero la claimscopedel token de acceso no incluye el valorcreate:users, la API debe rechazar la solicitud.