Passer au contenu principal
Une API est une entité qui représente une ressource externe et qui peut accepter des demandes de ressources protégées faites par des applications, puis y répondre. Dans la spécification OAuth2, une API correspond à un . À terme, vos API personnalisées devront permettre un accès limité à leurs ressources protégées pour le compte des utilisateurs. L’autorisation désigne le processus qui consiste à vérifier à quoi un utilisateur a accès. Bien qu’elle soit souvent utilisée de façon interchangeable avec l’authentification, l’autorisation remplit une fonction fondamentalement différente. Pour en savoir plus, consultez Authentification et autorisation. Dans le cadre de l’autorisation, l’accès à une API est accordé à un utilisateur ou à une application après que l’API a déterminé l’étendue des permissions à attribuer. Habituellement, l’autorisation intervient une fois l’identité validée par l’authentification, afin que l’API puisse déterminer le niveau d’accès à accorder. L’autorisation peut être établie au moyen de politiques et de règles, qui peuvent être utilisées avec le contrôle d’accès basé sur les rôles (RBAC). Que le RBAC soit utilisé ou non, l’accès demandé est transmis à l’API au moyen de scopes, et l’accès accordé est renvoyé dans les émis. L’application peut ensuite utiliser le Jeton d’accès pour accéder aux ressources protégées de l’API. Le même Jeton d’accès peut être utilisé pour accéder aux ressources de l’API sans devoir s’authentifier de nouveau jusqu’à son expiration.

Permissions de l’API

Comme seule l’API peut connaître toutes les actions possibles qu’elle peut prendre en charge, elle doit disposer de son propre système interne de contrôle d’accès, dans lequel elle définit ses propres permissions. Pour déterminer les permissions effectives d’une application appelante, une API doit combiner les scopes entrants avec les permissions attribuées dans son propre système interne de contrôle d’accès et prendre les décisions de contrôle d’accès qui s’imposent.

Configurer une API

Pour protéger une API, vous devez l’enregistrer à l’aide de l’. Pour en savoir plus, consultez Enregistrer des API.
Avant d’enregistrer des API dans l’Auth0 Dashboard, une API existe déjà : l’Auth0 Management API. Pour en savoir plus sur les fonctionnalités de la Management API et les points de terminaison offerts, consultez Management API.

Pour en savoir plus