Passer au contenu principal
Les API peuvent être utilisées dans deux scénarios :
  • Lorsque vous implémentez et que vous souhaitez personnaliser la page de connexion à l’aide d’auth0.js pour interagir avec Auth0.
  • Lorsque vous souhaitez intégrer le flux de connexion à votre application.
Pour en savoir plus sur l’implémentation de Passwordless avec Universal Login et de la connexion intégrée dans différents scénarios, consultez Authentification Passwordless avec Universal Login ou Authentification Passwordless avec connexion intégrée.

Points de terminaison Passwordless

POST /passwordless/start

Vous devez activer le type d’octroi Passwordless OTP dans Auth0 Dashboard > Applications > Applications, sous Advanced Settings > Grant Types dans les paramètres de votre application.
Le point de terminaison POST /passwordless/start peut être utilisé pour amorcer le processus d’authentification Passwordless pour Classic Login et connexion intégrée. Selon les paramètres fournis au point de terminaison, Auth0 amorce le processus de vérification de l’utilisateur en envoyant l’un des éléments suivants :
  • Un code à usage unique par courriel ou par SMS
  • Un lien à usage unique par courriel
L’appel à l’API doit avoir la structure suivante : Si vous utilisez un lien magique, les utilisateurs recevront un lien généré par l’Authentication API. Ils cliqueront sur ce lien, ce qui déclenchera un appel à {yourAuth0Tenant}.auth0.com/passwordless/verify-redirect. Auth0 redirigera l’utilisateur vers l’application, et celui-ci sera connecté. Si vous utilisez un code, votre application devra inviter l’utilisateur à saisir ce code, puis vous devrez utiliser le point de terminaison /oauth/token ou la méthode passwordlessLogin du SDK Auth0.js pour échanger ce code contre des jetons d’authentification.

POST /oauth/token

Si vous implémentez Passwordless pour des applications natives ou des applications Web classiques, vous devez utiliser /oauth/token pour échanger le code OTP contre des jetons d’authentification. Vous ne pouvez pas utiliser ce point de terminaison à partir d’applications monopage. Pour ce faire, vous devez d’abord activer le type d’octroi Passwordless OTP pour votre application dans Auth0 Dashboard > Applications > Applications, dans les paramètres de votre application, sous Advanced Settings > Grant Types. L’utilisateur recevra le code OTP et votre application native ou Web l’invitera à le saisir. Lorsque l’utilisateur entre le code, vous pouvez terminer le flux d’authentification en appelant le point de terminaison /oauth/token avec les paramètres suivants : Si tout se passe bien, Auth0 renverra une réponse semblable à celle-ci : 
HTTP/1.1 200 OK
Content-Type: application/json
{
"access_token":"eyJz93a...k4laUWw",
"refresh_token":"GEbRxBN...edjnXbL",
"id_token":"eyJ0XAi...4faeEoQ",
"token_type":"Bearer",
"expires_in":86400
}
Vous pouvez ensuite décoder le pour obtenir des informations sur l’utilisateur, ou utiliser le pour appeler votre API comme d’habitude.

Utilisation d’Auth0.js

Lorsque vous implémentez l’authentification Passwordless dans des applications monopages ou sur une page Universal Login personnalisée, nous vous recommandons d’utiliser Auth0.js et la méthode passwordlessLogin incluse. L’implémentation est complexe; nous vous recommandons donc d’utiliser la bibliothèque plutôt que d’appeler directement les API.

Limitation du débit dans les points de terminaison Passwordless

Les fonctionnalités de limitation du débit et de d’Auth0 ne tiennent compte que de l’adresse IP de la machine à l’origine de l’appel d’API. Lorsque l’appel d’API provient d’un serveur backend, vous voulez généralement qu’Auth0 tienne compte de l’adresse IP de l’utilisateur final, et non de celle du serveur. Auth0 permet de spécifier un en-tête auth0-forwarded-for dans les appels d’API, mais il n’est pris en compte que lorsque :
  • l’appel d’API est effectué pour une application confidentielle.
  • l’appel d’API inclut le .
  • le bouton bascule Faire confiance à l’en-tête IP du est activé.
Pour une explication complète, consultez Éviter les problèmes courants avec le flux de mot de passe du propriétaire de la ressource et la protection contre les attaques.

Personnaliser MFA

Personnalisez la à l’aide de l’API Passwordless. Lorsque votre application appelle le point de terminaison /oauth/token pour demander un jeton d’accès, le renvoie une erreur mfa_required qui fournit :
  • Le mfa_token dont vous avez besoin pour appeler l’API MFA pour l’inscription et les demandes de vérification.
  • Le paramètre mfa_requirements, qui indique le type de facteur que votre application prend en charge pour les demandes de vérification. 
{
  "error": "mfa_required",
  "error_description": "Multifactor authentication required",
  "mfa_token": "Fe26...Ha",
  "mfa_requirements": {
    "challenge": [
      { "type": "otp" },
      { "type": "push-notification" },
      { "type": "phone" },
      { "type": "recovery-code" }
    ]
  }
}
Utilisez le mfa_token pour appeler le point de terminaison mfa/authenticator afin de répertorier tous les facteurs auxquels l’utilisateur est inscrit et de repérer le même type que celui pris en charge par votre application. Vous devez également obtenir le authenticator_type correspondant pour lancer des demandes de vérification : 
[
  {
    "type": "recovery-code",
    "id": "recovery-code|dev_qpOkGUOxBpw6R16t",
    "authenticator_type": "recovery-code",
    "active": true
  },
  {
    "type": "otp",
    "id": "totp|dev_6NWz8awwC8brh2dN",
    "authenticator_type": "otp",
    "active": true
  }
]
Forcez la demande MFA en appelant le point de terminaison request/mfa/challenge. Personnalisez davantage votre flux MFA avec les Actions d’Auth0. Pour en savoir plus, consultez Déclencheurs des Actions : post-challenge - objet API.