Passer au contenu principal
Avant d’enregistrer des API dans l’Auth0 Dashboard, une API existe déjà : l’Auth0 Management API. Pour en savoir plus sur les fonctionnalités de la Management API et sur ses points de terminaison disponibles, consultez Management API.
  1. Accédez à Dashboard > Applications > APIs, puis sélectionnez + Create API.
  2. Fournissez les renseignements suivants pour votre API, puis cliquez sur Create :
    ChampDescriptionExemple
    NameUn nom convivial pour l’API. N’affecte aucune fonctionnalité.yourDomain
    IdentifierUn identifiant unique pour l’API. Auth0 recommande d’utiliser une URL. Auth0 distingue les URL qui incluent la barre oblique finale. Par exemple, https://example.com et https://example.com/ sont deux identifiants différents. L’URL n’a pas besoin d’être accessible publiquement. Auth0 n’appellera pas votre API. Cette valeur ne peut pas être modifiée par la suite.https://{yourDomain}
    JSON Web Token (JWT) ProfileLe profil détermine le format des jetons d’accès émis pour l’API. Les valeurs disponibles sont Auth0 et RFC 9068. Pour en savoir plus, consultez Access Token Profiles.Auth0
    JSON Web Token (JWT) Signing AlgorithmL’algorithme utilisé pour signer les jetons d’accès. Les valeurs disponibles sont HS256, PS256, RS256. Si vous sélectionnez RS256, le jeton sera signé avec la clé privée du locataire.RS256
    Access Policy for Applications within user flowPermet aux applications d’accéder à l’API au nom de l’utilisateur. Pour en savoir plus, consultez API Access Policies for Applications.Allow via client-grant
    Access Policy for Applications within client flowsPermet aux applications machine à machine d’accéder à l’API. Pour en savoir plus, consultez API Access Policies for Applications.Allow via client-grant
  3. Apportez à votre API les changements d’implémentation décrits dans le guide de démarrage rapide. Ces changements consistent à choisir une bibliothèque JWT dans une liste prédéfinie et à configurer cette bibliothèque pour valider les jetons d’accès dans votre API.
    Dashboard - Applications - APIs - guide de démarrage rapide
    Si vous créez une nouvelle API personnalisée et que vous avez aussi des applications monopage ou natives dans votre locataire, vous devez activer le Contrôle d’accès basé sur les rôles (RBAC) pour éviter que des utilisateurs déjà connectés à ces applications génèrent un jeton d’accès pour votre API sans tenir compte des scopes. Pour savoir comment activer le RBAC pour votre API, consultez Enable Role-Based Access Control for APIs.
Les autres vues disponibles dans l’Auth0 Dashboard pour votre API sont :
  • Settings : Répertorie les paramètres de votre API. Certains peuvent être modifiés. Vous pouvez notamment changer la durée d’expiration du jeton et activer l’accès hors ligne (ainsi, Auth0 permettra à vos applications de demander des pour cette API).
  • Scopes : Définissez les scopes pour cette API en définissant un nom et une description.
  • Machine to Machine Applications : Répertorie toutes les applications pour lesquelles l’octroi Client Credentials est activé. Par défaut, cet octroi est activé pour les applications Web régulières et les applications machine à machine. Vous pouvez autoriser n’importe laquelle de ces applications à demander des pour votre API. Vous pouvez aussi, au besoin, sélectionner un sous-ensemble des scopes définis afin de limiter l’accès de votre application autorisée.
  • Test : Exécutez un exemple de flux d’identification du client avec l’une de vos applications autorisées pour vérifier que tout fonctionne comme prévu.

En savoir plus