Passer au contenu principal
POST /oauth/token
Ce flux ne doit être utilisé que par des applications hautement fiables qui ne peuvent pas effectuer de redirections. Si votre application peut utiliser des flux basés sur des redirections, nous vous recommandons plutôt d’utiliser le Authorization Code Flow.
Il s’agit du type d’octroi OAuth 2.0 que les applications hautement fiables utilisent pour accéder à une API. Dans ce flux, l’utilisateur final doit saisir des identifiants (nom d’utilisateur/mot de passe), généralement au moyen d’un formulaire interactif dans l’agent utilisateur (navigateur). Ces informations sont envoyées au backend, puis transmises à Auth0. Il est donc impératif que l’application soit entièrement digne de confiance pour traiter ces informations.

En-têtes de requête

ParamètreDescription
auth0-forwarded-forAdresse IP de l’utilisateur final, sous forme de chaîne de caractères. Définissez cet en-tête si vous voulez que la protection contre les attaques par force brute fonctionne dans les scénarios côté serveur.

Réponses

200

Une requête réussie retourne le jeton d’accès. 
HTTP/1.1 200 OK
Content-Type: application/json
{
  "access_token":"eyJz93a...k4laUWw",
  "token_type":"Bearer",
  "expires_in":86400
}

Remarques

  • Les scopes émis pour l’application peuvent différer des scopes demandés. Dans ce cas, un paramètre scope sera inclus dans le JSON de réponse.
  • Si vous ne demandez pas de scopes précis, tous les scopes définis pour l’audience seront renvoyés en raison de la confiance implicite accordée à l’application dans le cadre de cet octroi.
  • Pour ajouter la prise en charge de realm, définissez grant_type sur http://auth0.com/oauth/grant-type/password-realm et realm sur le realm auquel l’utilisateur appartient. Cela correspond à une connexion dans Auth0.
  • En plus du nom d’utilisateur et du mot de passe, Auth0 peut exiger que l’utilisateur final fournisse un facteur supplémentaire comme preuve d’identité. La requête peut renvoyer une erreur mfa_required accompagnée d’un mfa_token pour l’authentification multifacteur.

Pour en savoir plus

Paramètres

DPoP
string
Une preuve DPoP pour la requête. Ce paramètre est facultatif et n’est requis que si votre application utilise le mécanisme Demonstrating Proof-of-Possession.

Corps de la requête

grant_type
string
requis
Indique le flux que vous utilisez. Pour le flux Resource Owner Password, utilisez password.
username
string
requis
Identifiant du propriétaire de la ressource, par exemple un nom d’utilisateur ou une adresse de courriel.
password
string
requis
Secret du propriétaire de la ressource.
audience
string
L’identifiant unique de l’API cible à laquelle vous voulez accéder.
resource
string
L’identifiant de l’API cible (serveur de ressources) à laquelle vous voulez accéder. Doit correspondre à un identifiant d’API enregistré dans votre locataire Auth0. Utilisé comme alternative à audience lorsque le profil de compatibilité du paramètre de ressource du locataire est défini sur compatibility.
scope
string
Valeur de chaîne des scopes demandés par l’application.
client_id
string
requis
L’ID client de votre application.
client_secret
string
Le secret client de votre application.
realm
string
Valeur de chaîne du realm auquel l’utilisateur appartient.

Réponse

StatutDescription
200Renvoie le jeton d’accès.