Passer au contenu principal
GET /authorize Pour commencer un flux d’autorisation OAuth 2.0, votre application doit d’abord rediriger l’utilisateur vers l’URL d’autorisation.

Point de terminaison d’autorisation

Le but de cet appel est d’obtenir le consentement de l’utilisateur pour appeler l’API (spécifiée dans audience) et effectuer certaines actions (spécifiées dans scope) en son nom. Auth0 authentifiera l’utilisateur et obtiendra son consentement, à moins que celui-ci n’ait déjà été accordé. Si vous modifiez la valeur de scope, Auth0 exigera que le consentement soit accordé de nouveau. Les flux OAuth 2.0 qui nécessitent l’autorisation de l’utilisateur sont les suivants : L’octroi avec mot de passe du propriétaire de la ressource et le flux d’identification du client n’utilisent pas ce point de terminaison, puisqu’aucune autorisation de l’utilisateur n’est requise. Ils appellent plutôt directement le point de terminaison POST /oauth/token pour obtenir un Jeton d’accès. Selon le flux OAuth 2.0 que vous implémentez, les paramètres changent légèrement. Pour déterminer quel flux convient le mieux à votre cas, consultez : Quel flux OAuth 2.0 dois-je utiliser ?.

Paramètres

audience
string
requis
L’identifiant unique de l’API cible à laquelle vous souhaitez accéder.
resource
string
L’identifiant de l’API cible (serveur de ressources) à laquelle vous souhaitez accéder. Il doit correspondre à un identifiant d’API enregistré dans votre locataire Auth0. Utilisé comme alternative à audience lorsque le profil de compatibilité du paramètre de ressource du locataire est défini sur compatibility.
scope
string
Les scopes pour lesquels vous souhaitez demander une autorisation. Ils doivent être séparés par un espace. Vous pouvez demander les scopes OpenID Connect (OIDC) standard, des claims personnalisées ou tout scope pris en charge par l’API cible. Incluez offline_access pour obtenir un Jeton d’actualisation.
response_type
string
requis
Indique à Auth0 quel flux OAuth 2.0 vous souhaitez exécuter. Utilisez ‘code’ pour le flux d’autorisation par code.
client_id
string
requis
L’identifiant de votre application.
redirect_uri
string
L’URL vers laquelle Auth0 redirigera le navigateur une fois que l’autorisation aura été accordée par l’utilisateur.
state
string
Une valeur opaque que l’application ajoute à la requête initiale et qu’Auth0 inclut lors de la redirection vers l’application. Cette valeur doit être utilisée par l’application pour prévenir les attaques CSRF.
connection
string
Le nom de la connexion configurée pour votre application.
prompt
string
Pour lancer une requête d’authentification silencieuse, utilisez ‘prompt=none’.
organization
string
ID de l’organisation à utiliser lors de l’authentification d’un utilisateur. S’il n’est pas fourni et que votre application est configurée pour Afficher l’invite d’organisation, l’utilisateur pourra saisir le nom de l’organisation au moment de s’authentifier.
invitation
string
ID du ticket de l’invitation à l’organisation. Lors de l’invitation d’un membre à une Organisation, votre application doit gérer l’acceptation de l’invitation en transmettant les paires clé-valeur de l’invitation et de l’organisation lorsque l’utilisateur accepte l’invitation.
dpop_jkt
string
L’empreinte JWK [RFC7638] de la clé publique de preuve de possession utilisant la fonction de hachage SHA-256. Uniquement lors de l’utilisation de Demonstrating Proof-of-Possession (DPoP).

Réponse

StatutDescription
302Redirection avec code d’autorisation