Refuser l’accès d’un utilisateur à une API à l’aide de Rules

À utiliser uniquement avec l’Authorization Extension d’Auth0. Si vous utilisez l’ensemble de fonctionnalités Authorization Core, vous devriez plutôt utiliser les dialectes de jeton intégrés. Pour en savoir plus, consultez Authorization Core vs. Authorization Extension.

Accédez à Dashboard > Auth0 Pipeline > Rules. Vous pouvez configurer des Rules à diverses fins, de la gestion des utilisateurs à l’enrichissement des profils utilisateur. Si vous devez refuser à un utilisateur l’accès à votre API, vous pouvez créer des rôles avec des scopes attribués, puis créer une Rule pour supprimer des scopes du :

{
function (user, context, callback) {
  var permissions = user.permissions || [];
  var requestedScopes = context.request.body.scope || context.request.query.scope;
  var filteredScopes = requestedScopes.split(' ').filter( function(x) {
      return x.indexOf(':') < 0;
  });

  var allScopes = filteredScopes.concat(permissions);
  context.accessToken.scope = allScopes.join(' ');

  callback(null, user, context);
}

Gérer l’accès des utilisateurs aux applications

Comment bloquer et débloquer des utilisateurs en tant qu’administrateur du locataire