Passer au contenu principal
Ce tutoriel vous aidera à appeler votre API depuis une application machine à machine (M2M) à l’aide du flux d’identification du client. Pour en savoir plus sur le fonctionnement de ce flux et pourquoi vous devriez l’utiliser, consultez flux d’identification du client.
Auth0 permet à votre application de mettre en œuvre facilement le flux d’identification du client. Une fois l’authentification réussie, l’application aura accès à un , qui peut servir à appeler vos API protégées. Pour en savoir plus sur les jetons d’accès, consultez Jetons d’accès.

Prérequis

Avant de commencer ce tutoriel :

Étapes

  1. Demander des jetons: Depuis l’application autorisée, demandez un jeton d’accès pour votre API.
  2. Appeler l’API: Utilisez le jeton d’accès obtenu pour appeler votre API.
Facultatif : Explorer des cas d’utilisation exemples

Demander des jetons

Pour accéder à votre API, vous devez demander un jeton d’accès. Pour ce faire, vous devez envoyer une requête POST à l’URL du jeton.

Exemple de requête POST à l’URL du jeton

Paramètres
Nom du paramètreDescription
grant_typeDéfinissez cette valeur sur “client_credentials”.
client_idL’ID client de votre application. Vous trouverez cette valeur dans l’onglet des paramètres de l’application.
client_secretLe Secret client de votre application. Vous trouverez cette valeur dans l’onglet des paramètres de l’application. Pour en savoir plus sur les méthodes d’authentification des applications offertes, consultez Identifiants de l’application.
audienceL’audience du jeton, c’est-à-dire votre API. Vous la trouverez dans le champ Identifiant de l’onglet des paramètres de votre API.
organizationFacultatif. Le nom ou l’identifiant de l’organisation à laquelle vous souhaitez associer la requête. Pour en savoir plus, consultez Accès Machine-to-Machine pour les organisations.

Réponse

Si tout se passe bien, vous recevrez une réponse HTTP 200 avec un payload qui contient les valeurs access_token, token_type et expires_in : 
{
  "access_token":"eyJz93a...k4laUWw",
  "token_type":"Bearer",
  "expires_in":86400
}
Validez vos jetons avant de les enregistrer. Pour savoir comment faire, consultez Valider les ID tokens et Valider les jetons d’accès.

Appeler l’API

Pour appeler votre API à partir de l’application M2M, l’application doit inclure le jeton d’accès récupéré en tant que Bearer Token dans l’en-tête Authorization de la requête HTTP.

Exemples de cas d’utilisation

Personnaliser les jetons

Vous pouvez utiliser les Actions pour refuser des jetons d’accès selon une logique personnalisée ou pour ajouter des claims aux jetons d’accès. Auth0 invoque les Actions associées à l’octroi Client Credentials dans l’environnement d’exécution pour exécuter votre logique personnalisée. Pour en savoir plus, consultez la documentation sur le flux machine à machine.

Voir l’application d’exemple : application serveur + API

Pour voir un exemple d’implémentation, consultez le scénario d’architecture Application serveur + API. Cette série de tutoriels s’accompagne d’un exemple de code auquel vous pouvez accéder sur GitHub. Lorsqu’une requête accompagnée d’un jeton d’accès parvient à votre API, celle-ci doit valider le jeton. Pour en savoir plus, consultez Valider les jetons d’accès.

Pour en savoir plus