Passer au contenu principal
POST /oauth/par
Pour utiliser les fonctionnalités Highly Regulated Identity, vous devez avoir un plan Enterprise avec le module complémentaire Highly Regulated Identity. Consultez Auth0 Pricing pour en savoir plus.
Le flux de code d’autorisation avec Requêtes d’autorisation poussées (PAR) utilise le point de terminaison /oauth/par pour permettre aux applications d’envoyer les paramètres d’autorisation habituellement transmis dans une requête GET à /authorize. PAR utilise la méthode POST côté serveur afin de protéger les valeurs des paramètres. Le point de terminaison /oauth/par accepte tous les paramètres d’autorisation pouvant être fournis à /authorize. Si l’appel au point de terminaison /oauth/par est valide, Auth0 retourne une valeur redirect_uri qui peut être utilisée comme paramètre pour le point de terminaison /authorize. Si l’appel au point de terminaison /oauth/par est valide, Auth0 retourne une valeur redirect_uri également utilisée comme paramètre pour le point de terminaison /authorize. Pour en savoir plus sur la configuration de PAR, consultez Configure Requêtes d’autorisation poussées (PAR).

Remarques

  • Pour appeler le point de terminaison PAR, vous devez :
    • Définir le type de contenu de la requête sur application/x-www-form-urlencoded
    • Utiliser des chaînes de caractères (strings) pour tous les paramètres transmis
    • Inclure dans la requête un paramètre supplémentaire pour l’authentification de l’application (par ex. client_secret, ou client_assertion et client_assertion_type pour l’authentification d’application par JSON Web Token, ou transmettre les en-têtes client-certificate et client-certificate-ca-verified lorsque vous utilisez le TLS mutuel).
  • Utilisez le paramètre authorization_details pour demander une autorisation pour chaque ressource. Par exemple, vous pouvez indiquer un tableau d’objets JSON pour transmettre des renseignements détaillés sur l’autorisation. Chaque objet JSON doit contenir un attribut type. Le reste vous appartient.

Paramètres

DPoP
string
Une preuve DPoP pour la requête. Ce paramètre est facultatif et n’est requis que si votre application utilise Demonstrating Proof-of-Possession.

Corps de la requête

authorization_details
string
Autorisations demandées pour chaque ressource, similaires aux scopes.
audience
string
L’identifiant unique de l’API cible à laquelle vous souhaitez accéder.
resource
string
L’identifiant de l’API cible (serveur de ressources) à laquelle vous souhaitez accéder. Doit correspondre à un identifiant d’API enregistré dans votre locataire Auth0. Utilisé comme alternative à audience lorsque le profil de compatibilité du paramètre de ressource du locataire est défini sur compatibility.
response_type
string
requis
Spécifie le type de jeton, par ex. code ou code id_token. Obligatoire.
client_id
string
requis
Le client_id de votre application. Obligatoire.
redirect_uri
string
requis
L’URL vers laquelle Auth0 redirigera après l’octroi de l’autorisation. Obligatoire.
state
string
Valeur opaque utilisée pour prévenir les attaques CSRF. Recommandé.
scope
string
Scopes OIDC et scopes d’API personnalisés. Recommandé.
code_challenge
string
Défi généré à partir de code_verifier. Recommandé.
code_challenge_method
string
Méthode utilisée pour générer le défi, généralement S256. Recommandé.
nonce
string
Utilisé pour prévenir les attaques par rejeu de jeton. Recommandé pour response_type=id_token.
connection
string
Le nom de la connexion configurée pour votre application.
prompt
string
Utilisé pour forcer une invite précise, par ex. prompt=consent.
organization
string
ID de l’organisation à utiliser lors de l’authentification d’un utilisateur.
dpop_jkt
string
L’empreinte JWK RFC7638 de la clé publique de preuve de possession, calculée à l’aide de la fonction de hachage SHA-256. Uniquement lors de l’utilisation de Demonstrating Proof-of-Possession (DPoP).

Réponse

StatutDescription
201Requête réussie ; renvoie l’URI de la requête et l’heure d’expiration.