Passer au contenu principal
POST /oauth/token Vérifie l’authentification multifacteur (MFA) au moyen d’un défi hors bande (OOB) (notification Push, SMS ou appel vocal). Pour vérifier la MFA à l’aide d’un défi OOB, votre application doit envoyer une requête à /oauth/token avec grant_type=http://auth0.com/oauth/grant-type/mfa-oob. Incluez le oob_code reçu dans la réponse au défi, ainsi que le mfa_token reçu dans le cadre de l’erreur mfa_required. La réponse à cette requête dépend de l’état de vérification du défi sous-jacent :
  • Si le défi a été accepté et vérifié, la réponse sera la même que pour les types d’autorisation password ou http://auth0.com/oauth/grant-type/password-realm.
  • Si le défi a été rejeté, vous obtiendrez une erreur invalid_grant, ce qui signifie que le défi a été rejeté par l’utilisateur. À ce stade, vous devez arrêter les requêtes de vérification, car cette réponse est définitive.
  • Si la vérification du défi est toujours en attente (c’est-à-dire qu’il n’a été ni accepté ni rejeté), vous obtiendrez une erreur authorization_pending, ce qui signifie que vous devez réessayer la même requête quelques secondes plus tard. Si vous envoyez des requêtes trop fréquemment, vous obtiendrez une erreur slow_down.
Lorsque la réponse au défi inclut binding_method: prompt, votre application doit inviter l’utilisateur à saisir le binding_code et l’envoyer dans la requête. Le binding_code est habituellement un nombre à 6 chiffres (semblable à un OTP) inclus dans le défi. Aucun binding_code n’est nécessaire si la réponse au défi n’incluait pas de binding_method. Dans ce scénario, la réponse sera immédiate ; vous recevrez soit un invalid_grant, soit un access_token en réponse.

En savoir plus

Paramètres

DPoP
string
Une preuve DPoP pour la requête. Ce paramètre est facultatif et n’est requis que si votre application utilise DPoP (Demonstrating Proof-of-Possession).

Corps de la requête

grant_type
string
requis
Indique le flux utilisé. Pour l’OTP MFA, utilisez http://auth0.com/oauth/grant-type/mfa-oob.Valeurs autorisées : http://auth0.com/oauth/grant-type/mfa-oob
client_id
string
requis
L’ID client de votre application.
client_assertion
string
Un JWT contenant une assertion signée avec les identifiants de votre application.
client_assertion_type
string
La valeur est urn:ietf:params:oauth:client-assertion-type:jwt-bearer.Valeurs autorisées : urn:ietf:params:oauth:client-assertion-type:jwt-bearer
client_secret
string
Le Secret client de votre application.
mfa_token
string
requis
Le mfa_token que vous avez reçu dans l’erreur mfa_required.
oob_code
string
requis
Le code oob reçu à la suite de la demande de défi.
binding_code
string
Un code utilisé pour lier le canal secondaire au canal principal servant à l’authentification.

Réponse

StatutDescription
200Réponse réussie pour la vérification OOB.
400Requête invalide en raison de paramètres manquants ou invalides.
401Non autorisé : mfa_token ou oob_code invalide.