Passer au contenu principal
POST /oauth/token
Ce flux est destiné à être utilisé uniquement avec des interactions sociales natives. L’utilisation de ce flux en dehors d’un contexte social natif est fortement déconseillée.
Lorsqu’une solution sans navigateur (comme le SDK d’une plateforme mobile) authentifie l’utilisateur, l’authentification produit généralement des artefacts qui sont renvoyés au code de l’application. Dans ce type de situation, ce type d’autorisation permet à la plateforme Auth0 d’accepter des artefacts provenant de sources fiables et d’émettre des jetons en retour. Ainsi, les applications qui utilisent des mécanismes d’authentification sans navigateur (comme c’est souvent le cas des applications natives) peuvent tout de même récupérer des jetons Auth0 sans nécessiter d’interaction supplémentaire de l’utilisateur. Les artefacts renvoyés par ce flux (et leur contenu) seront déterminés par le subject_token_type et les paramètres de configuration du locataire.

Remarques

  • Les scopes émis pour l’application peuvent différer des scopes demandés. Dans ce cas, un paramètre scope sera inclus dans la réponse JSON.
  • Si vous ne demandez pas de scopes précis, tous les scopes définis pour l’audience seront renvoyés en raison de la confiance implicite accordée à l’application dans ce grant. Vous pouvez personnaliser les scopes renvoyés dans une Rule. Pour en savoir plus, consultez Calling APIs from Highly Trusted Applications.

En savoir plus

Paramètres

DPoP
string
Une preuve DPoP pour la requête. Ce paramètre est facultatif et n’est requis que si votre application utilise le mécanisme Demonstrating Proof-of-Possession.

Corps de la requête

auth0-forwarded-for
string
Adresse IP de l’utilisateur final sous forme de chaîne de caractères. Définissez cette valeur si vous voulez que la protection contre les attaques par force brute fonctionne dans les scénarios côté serveur. Pour en savoir plus sur la façon et le moment d’utiliser cet en-tête, consultez Using resource owner password from server-side.
grant_type
string
requis
Indique le flux que vous utilisez. Pour Échange de jetons pour l’authentification sociale native, utilisez urn:ietf:params:oauth:grant-type:token-exchange.
subject_token
string
requis
Artefact d’identité émis par un système externe qui représente l’utilisateur.
subject_token_type
string
requis
Identifiant qui indique le type de subject_token.
client_id
string
requis
L’ID client de votre application.
audience
string
L’identifiant unique de l’API cible à laquelle vous voulez accéder.
resource
string
L’identifiant de l’API cible (serveur de ressources) à laquelle vous voulez accéder. Il doit correspondre à un identifiant d’API enregistré dans votre locataire Auth0. Il est utilisé comme alternative à audience lorsque le Resource Parameter Compatibility Profile du locataire est défini sur compatibility.
scope
string
Valeur de chaîne des différents scopes demandés par l’application. Plusieurs scopes sont séparés par des espaces.
user_profile
object
Élément facultatif utilisé pour les interactions iOS natives dans lesquelles des mises à jour du profil peuvent se produire. La valeur attendue du paramètre est du JSON sous la forme suivante : { name: { firstName: 'John', lastName: 'Smith' }}.

Réponse

StatutDescription
200Réponse réussie
defaultErreur inattendue