Passer au contenu principal
Les applications capables de stocker en toute sécurité des identifiants d’application peuvent bénéficier de l’utilisation du flux hybride (défini dans la spécification OpenID Connect, section 3.3). Le flux hybride permet à votre application d’accéder immédiatement à un tout en assurant la récupération sécurisée et fiable des et des . Cela peut être utile lorsque votre application doit accéder immédiatement à des informations sur l’utilisateur, mais doit effectuer un certain traitement avant de pouvoir accéder à des ressources protégées pendant une période prolongée.

Fonctionnement

Le flux hybride combine des étapes du flux implicite avec envoi de formulaire et du flux de code d’autorisation :
  1. L’utilisateur sélectionne Connexion dans l’application.
  2. L’application redirige l’utilisateur vers le serveur d’autorisation Auth0 (point de terminaison /authorize), en transmettant le paramètre response_type pour indiquer le type d’identifiant demandé (jeton d’identité et code d’autorisation), ainsi que le paramètre response_mode avec la valeur form_post pour renforcer la sécurité.
  3. Le serveur d’autorisation Auth0 redirige l’utilisateur vers l’écran de connexion et d’autorisation.
  4. L’utilisateur s’authentifie à l’aide de l’une des options de connexion configurées et peut voir une invite de consentement énumérant les autorisations qu’Auth0 accordera à l’application.
  5. Le serveur d’autorisation Auth0 redirige l’utilisateur vers l’application avec un code d’autorisation à usage unique, ainsi qu’un jeton d’identité, un jeton d’accès ou les deux, selon la valeur response_type fournie.
  6. L’application envoie le code d’autorisation, l’ID client de l’application et les informations d’identification de l’application, comme le Secret client ou un JWT à clé privée, au serveur d’autorisation Auth0 (point de terminaison /oauth/token).
  7. Le serveur d’autorisation Auth0 vérifie le code d’autorisation, l’ID client de l’application et les informations d’identification de l’application.
  8. Le serveur d’autorisation Auth0 renvoie un deuxième jeton d’identité et un jeton d’accès (et, éventuellement, un jeton d’actualisation).
  9. L’application peut utiliser le deuxième jeton d’accès pour appeler une API et accéder à des renseignements sur l’utilisateur.
  10. L’API renvoie les données demandées.
Si votre application n’a besoin d’utiliser le flux hybride que pour l’ouverture de session, vous n’aurez besoin ni d’un Jeton d’actualisation ni d’un Jeton d’accès, seulement d’un jeton d’identité contenant des revendications.

Comment le mettre en œuvre

Vous pouvez suivre notre tutoriel pour utiliser l’API d’authentification afin d’appeler votre API au moyen du flux hybride.

En savoir plus