Authentification
Gérer les utilisateurs
Personnaliser
Auth0 AI
PlateformePOST /oauth/token
Il s’agit du flux utilisé par les applications mobiles pour accéder à une API. Utilisez ce point de terminaison pour échanger un code d’autorisation contre un jeton.
Remarques
- Afin d’améliorer la compatibilité des applications, Auth0 renverra désormais les informations de profil dans un format de claim structuré, tel que défini par la spécification OIDC. Cela signifie que, pour ajouter des claims personnalisées aux ID tokens ou aux jetons d’accès, elles doivent utiliser un format avec espace de noms afin d’éviter d’éventuelles collisions avec les claims OIDC standard.
- Incluez
offline_accessdans le paramètre de requêtescopepour obtenir un Jeton d’actualisation à partir de POST /oauth/token. Assurez-vous que le champ Allow Offline Access est activé dans les paramètres de l’API. - La valeur
redirect_uridoit être spécifiée comme URL de rappel valide dans les paramètres de votre application. - L’authentification silencieuse vous permet d’exécuter un flux d’authentification dans lequel Auth0 répond uniquement par des redirections, jamais avec une page de connexion. Lorsqu’un Jeton d’accès a expiré, l’authentification silencieuse peut être utilisée pour en obtenir un nouveau sans interaction de l’utilisateur, à condition que la session d’authentification unique (SSO) de l’utilisateur n’ait pas expiré.
En savoir plus
- Flux de code d’autorisation avec PKCE (Proof Key for Code Exchange)
- Appeler une API à l’aide du flux de code d’autorisation avec PKCE
- Authentification silencieuse
Paramètres
Une preuve DPoP pour la requête. Ce champ est facultatif et n’est requis que si votre application utilise DPoP (Demonstrating Proof-of-Possession).
Corps de la requête
Indique le flux utilisé. Pour le code d’autorisation (PKCE), utilisez
authorization_code.Valeurs autorisées : authorization_codeL’ID client de votre application.
Le code d’autorisation reçu lors de l’appel initial à
/authorize.Clé aléatoire cryptographiquement sûre utilisée pour générer le
code_challenge transmis à /authorize.Ce paramètre est requis uniquement s’il a été défini au point de terminaison
GET /authorize.Réponse
| Statut | Description |
|---|---|
| 200 | Échange de jeton réussi. |
| default | Erreur inattendue |