Passer au contenu principal
POST /oauth/token Pour vérifier le statut d’un flux de connexion par canal arrière, interrogez le point de terminaison /oauth/token à intervalles réguliers en transmettant les éléments suivants :
  • auth_req_id renvoyé par l’appel à /bc-authorize
  • le type d’octroi urn:openid:params:grant-type:ciba

Corps de la réponse

Si l’utilisateur qui autorise la demande ne l’a pas encore approuvée ni rejetée, vous devriez recevoir une réponse semblable à ce qui suit : 
{ 
  "error": "authorization_pending", 
  "error_description": "The end-user authorization is pending"
}
Si l’utilisateur qui accorde l’autorisation rejette la demande, vous devriez recevoir une réponse semblable à la suivante : 
{
  "error": "access_denied",
  "error_description": "The end-user denied the authorization request or it has been expired"
}
Si vous effectuez la scrutation trop rapidement (à une fréquence supérieure à la valeur d’intervalle renvoyée par /bc-authorize), vous devriez recevoir une réponse semblable à la suivante : 
{
  "error": "slow_down",
  "error_description": "You are polling faster than allowed. Try again in 10 seconds."
}
De plus, Auth0 ajoutera l’en-tête Retry-After à la réponse pour indiquer combien de secondes attendre avant de relancer l’interrogation. Si vous interrogez trop fréquemment, le nombre de secondes d’attente augmente. Si l’utilisateur qui autorise a approuvé la notification poussée, l’appel renvoie le jeton d’identité et le jeton d’accès (et potentiellement un jeton d’actualisation) : 
{
  "access_token": "eyJh...",
  "id_token": "eyJh...",
  "expires_in": 86400,
  "scope": "openid"
}
Une fois qu’un auth_req_id a été échangé contre un jeton d’identification ou un jeton d’accès, il ne peut plus être utilisé.

Remarques

Incluez un paramètre facultatif d’authentification de l’application dans la requête :
  • Secret client avec Basic Auth HTTP, auquel cas aucun paramètre n’est requis. Les client_id et client_secret sont transmis dans un en-tête.
  • Secret client Post, auquel cas les client_id et client_secret sont requis.
  • Private Key JWT, où le client_id, le client_assertion et le type de client_assertion sont requis.
  • mTLS, où le paramètre client_id est requis et les en-têtes client-certificate et client-certificate-ca-verified sont requis.

Paramètres

client_id
string
requis
Le client_id de votre application.
auth_req_id
string
requis
Le auth_req_id renvoyé par le point de terminaison /bc-authorize.
grant_type
string
requis
Doit être défini sur urn:openid:params:grant-type:ciba.

Réponse

StatutDescription
200Statut d’authentification retourné.
400Requête incorrecte - paramètres invalides
500Erreur interne du serveur