Échanger un code d’autorisation contre un jeton

POST /oauth/token Lorsque les utilisateurs sont redirigés vers votre callback, vous devez envoyer une requête POST au point de terminaison oauth/token pour échanger un code d’autorisation contre un jeton d’accès et/ou un jeton d’identité.

Remarques

Pour appeler le point de terminaison /oauth/token, vous devez :

Définir le type de contenu de la requête sur application/x-www-form-urlencoded
Utiliser des chaînes de caractères pour tous les paramètres transmis
Inclure dans la requête un paramètre supplémentaire pour l’authentification de l’application (par ex. client_secret, ou client_assertion et client_assertion_type pour l’authentification de l’application par JSON Web Token, ou transmettre les en-têtes client-certificate et client-certificate-ca-verified lors de l’utilisation de Mutual TLS).

Paramètres

DPoP

string

Une preuve DPoP pour la requête. Ce paramètre est facultatif et n’est requis que si votre application utilise Demonstrating Proof-of-Possession.

Corps de la requête

grant_type

string

requis

Indique le flux; utilisez authorization_code avec un code d’autorisation valide.

code

string

Le code d’autorisation issu de l’appel initial à /authorize.

client_id

string

requis

Le client_id de votre application. Obligatoire.

request_uri

string

Obligatoire uniquement s’il est défini sur le point de terminaison GET /oauth/par.

code_verifier

string

Clé aléatoire cryptographiquement sécurisée utilisée pour générer le code_challenge. Recommandée si code_challenge a été fourni.

Réponse

Statut	Description
200	Réponse réussie contenant les jetons.

​Remarques

​Paramètres

​Corps de la requête

​Réponse

Remarques

Paramètres

Corps de la requête

Réponse