Passer au contenu principal
Pour utiliser les API intégrées dans les applications Web régulières, assurez-vous d’activer l’octroi Passwordless OTP dans Auth0 Dashboard > Applications > Applications, sous Advanced Settings > Grant Types dans les paramètres de votre application. L’authentification Passwordless pour les applications Web régulières se déroule en deux étapes :
  1. Récupérez l’identifiant de l’utilisateur dans votre application (son courriel ou son numéro de téléphone) et appelez le point de terminaison /passwordless/start pour lancer le flux Passwordless. L’utilisateur recevra un courriel, un SMS contenant un code à usage unique ou un Magic Link.
  2. Si vous n’avez pas envoyé de Magic Link, demandez à l’utilisateur le code à usage unique, puis appelez le point de terminaison /oauth/token pour obtenir des jetons d’authentification.
Notez que lorsque vous utilisez des Magic Links, vous n’avez pas besoin d’appeler /oauth/token. L’utilisateur cliquera sur le Magic Link et sera redirigé vers l’URL de rappel de l’application. Ci-dessous, nous présentons quelques extraits de code qui peuvent être utilisés pour appeler ces points de terminaison d’API dans différents scénarios. Envoyer un code à usage unique par courriel Envoyer un Magic Link par courriel Vous devez indiquer send: link. Envoyer un mot de passe à usage unique par SMS Authentifier un utilisateur par SMS Authentifier un utilisateur avec son courriel Authentifier un utilisateur au moyen d’un Magic Link Lorsque vous envoyez un Magic Link, vous n’avez pas besoin d’appeler une API pour authentifier l’utilisateur. Il lui suffit de cliquer sur le lien pour être redirigé vers l’URL de rappel.

Définir l’en-tête auth0-forwarded-for pour la gestion des limites de débit

Le point de terminaison /passwordless/start a une limite de débit de 50 requêtes par heure et par adresse IP. Si vous appelez l’API côté serveur, l’adresse IP de votre backend peut facilement se heurter à ces limites de débit. Pour savoir comment résoudre ce problème, consultez la section sur la limitation du débit dans les points de terminaison Passwordless de Utilisation des API Passwordless.

Personnaliser l’authentification multifacteur

Personnalisez dans des flux intégrés. Utilisez l’API MFA pour permettre aux utilisateurs d’inscrire les facteurs de leur choix pris en charge par votre application et de répondre aux demandes de vérification. Lorsque vous utilisez Lock for Web, le point de terminaison oauth/token renvoie l’erreur mfa_required et inclut le mfa_token nécessaire pour utiliser l’API MFA, ainsi que le paramètre mfa_requirements, qui contient la liste des authentificateurs actuellement pris en charge par votre application : 
{
  "error": "mfa_required",
  "error_description": "Multifactor authentication required",
  "mfa_token": "Fe26...Ha",
  "mfa_requirements": {
    "challenge": [
      { "type": "otp" },
      { "type": "push-notification" },
      { "type": "phone" },
      { "type": "recovery-code" }
      { "type": "email"} //fonctionne uniquement avec challenge
    ]
  }
}
Utilisez le mfa_token pour appeler le point de terminaison mfa/authenticator afin de répertorier tous les facteurs auxquels l’utilisateur est inscrit et de trouver celui dont le type est pris en charge par votre application. Vous devez également obtenir le authenticator_type correspondant pour lancer les demandes de vérification : 
[
  {
    "type": "recovery-code",
    "id": "recovery-code|dev_qpOkGUOxBpw6R16t",
    "authenticator_type": "recovery-code",
    "active": true
  },
  {
    "type": "otp",
    "id": "totp|dev_6NWz8awwC8brh2dN",
    "authenticator_type": "otp",
    "active": true
  }
]
Appliquez ensuite le défi MFA en appelant le point de terminaison request/mfa/challenge. Personnalisez davantage votre flux MFA avec Auth0 Actions. Pour en savoir plus, consultez Déclencheurs d’Actions : post-challenge - objet API.