Passer au contenu principal
GET /authorize Il s’agit de l’octroi OAuth 2.0 utilisé par les applications Web pour accéder à une API.

Réponses

302

Une requête réussie redirige l’utilisateur vers l’URL de rappel spécifiée avec le jeton d’accès. 
HTTP/1.1 302 Found
Location: ${account.callback}#access_token=TOKEN&state=STATE&token_type=TYPE&expires_in=SECONDS

Remarques

  • La valeur redirect_uri doit être indiquée comme une URL de rappel valide dans les paramètres de votre application.
  • Si response_type=token, après l’authentification de l’utilisateur auprès du fournisseur, celui-ci est redirigé vers l’URL de rappel de votre application, avec le access_token transmis dans location.hash de l’adresse. Ce mécanisme est utilisé pour les applications monopages et les SDK mobiles natifs.
  • L’octroi implicite ne permet pas l’émission de jetons d’actualisation. Utilisez plutôt l’authentification silencieuse.
  • Afin d’améliorer la compatibilité des applications, Auth0 renvoie désormais les informations de profil dans un format structuré de claims tel que défini par la spécification OIDC. Cela signifie que, pour ajouter des claims personnalisées aux ID tokens ou aux jetons d’accès, elles doivent respecter un format avec espace de noms afin d’éviter d’éventuelles collisions avec les claims OIDC standard.
  • L’authentification silencieuse vous permet d’exécuter un flux d’authentification dans lequel Auth0 répond uniquement par des redirections, jamais avec une page de connexion. Lorsqu’un Jeton d’accès a expiré, l’authentification silencieuse peut être utilisée pour en obtenir un nouveau sans interaction de l’utilisateur, à condition que la session d’authentification unique (SSO) de l’utilisateur n’ait pas expiré.

En savoir plus

Paramètres

audience
string
L’identifiant unique de l’API cible à laquelle vous souhaitez accéder.
resource
string
L’identifiant de l’API cible (serveur de ressources) à laquelle vous souhaitez accéder. Il doit correspondre à un identifiant d’API enregistré dans votre locataire Auth0. Utilisé comme alternative à audience lorsque le profil de compatibilité des paramètres de ressource du locataire est défini sur compatibility.
scope
string
Les scopes pour lesquels vous souhaitez demander une autorisation. Ils doivent être séparés par un espace.
response_type
string
requis
Indique le type de jeton que vous recevrez à la fin du flux. Utilisez token pour obtenir seulement un Jeton d’accès, id_token pour obtenir seulement un jeton d’identité, ou id_token token pour obtenir les deux.Valeurs autorisées : token, id_token, id_token token
client_id
string
requis
L’ID de votre application.
state
string
Une valeur opaque pour prévenir les attaques CSRF.
redirect_uri
string
L’URL vers laquelle Auth0 redirigera le navigateur après l’autorisation.
nonce
string
Une chaîne incluse dans la réponse du jeton d’identité pour prévenir les attaques par rejeu de jeton.
connection
string
Le nom de la connexion configurée pour votre application.
prompt
string
Pour lancer une demande d’authentification silencieuse, utilisez prompt=none.
organization
string
L’ID de l’organisation à utiliser lors de l’authentification d’un utilisateur.
invitation
string
L’ID du ticket d’invitation de l’organisation.

Réponse

StatutDescription
302Redirige vers l’URL de rappel spécifiée avec le jeton d’accès.