Passer au contenu principal
sont utilisés dans l’authentification par jeton pour permettre à une application d’accéder à une API. Par exemple, une application de calendrier doit accéder à une API de calendrier dans le nuage afin de pouvoir lire les événements planifiés de l’utilisateur et en créer de nouveaux. Une fois qu’une application a reçu un jeton d’accès, elle inclut ce jeton comme justificatif lorsqu’elle envoie des requêtes à l’API. Pour ce faire, elle doit transmettre le jeton d’accès à l’API comme justificatif Bearer dans un en-tête HTTP Authorization. Par exemple : 
GET /calendar/v1/events
    Host​: api.example.com
    
    Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJodHRwczovL2V4YW1wbGUuYXV0aDAuY29tLyIsImF1ZCI6Imh0dHBzOi8vYXBpLmV4YW1wbGUuY29tL2NhbGFuZGFyL3YxLyIsInN1YiI6InVzcl8xMjMiLCJpYXQiOjE0NTg3ODU3OTYsImV4cCI6MTQ1ODg3MjE5Nn0.CA7eaHjIHz5NxeIJoFK9krqaeZrPLwmMmgI_XiQiIkQ
Dans cet exemple, le jeton d’accès est un qui se décode pour donner les déclarations suivantes : 
{
      "alg": "RS256",
      "typ": "JWT"
    }
    .
    {
      "iss": "https://example.auth0.com/",
      "aud": "https://api.example.com/calendar/v1/",
      "sub": "usr_123",
      "scope": "read write",
      "iat": 1458785796,
      "exp": 1458872196
    }
Avant d’autoriser l’accès à l’API au moyen de ce jeton, l’API doit valider le jeton d’accès. Une fois le jeton d’accès validé, l’API peut être certaine de ce qui suit :
  • Le jeton a été émis par Auth0.
  • Le jeton a été émis pour une application utilisée par un utilisateur dont l’identifiant est usr_123.
  • L’utilisateur a accordé à l’application un accès en lecture et en écriture à son calendrier.
L’API peut maintenant traiter la requête et permettre à l’application de lire et d’écrire dans le calendrier de l’utilisateur usr_123.

En savoir plus