Passer au contenu principal
Pour obtenir un , vous devez inclure le offline_access scope lorsque vous lancez une requête d’authentification au point de terminaison /authorize. Assurez-vous d’activer l’accès hors ligne dans votre API. Pour en savoir plus, consultez Paramètres de l’API. Par exemple, si vous utilisez le flux de code d’autorisation, la requête d’authentification ressemblerait à ceci : Le jeton d’actualisation est stocké dans la session. Ensuite, lorsqu’une session doit être actualisée (par exemple, lorsqu’une période préconfigurée est écoulée ou que l’utilisateur tente d’effectuer une opération sensible), l’application utilise le jeton d’actualisation dans le backend pour obtenir un nouveau , à l’aide du point de terminaison /oauth/token avec grant_type=refresh_token. Une fois l’utilisateur authentifié avec succès, l’application est redirigée vers le redirect_uri, avec un code dans l’URL : {https://yourApp/callback}?code=BPPLN3Z4qCTvSNOy. Vous pouvez échanger ce code contre un à l’aide du point de terminaison /oauth/token. La réponse doit contenir un jeton d’accès et un jeton d’actualisation. 
{
      "access_token": "eyJz93a...k4laUWw",
      "refresh_token": "GEbRxBN...edjnXbL",
      "token_type": "Bearer"
    }
Si vous demandez un jeton d’actualisation pour une application mobile à l’aide du client natif correspondant (qui est public), vous n’avez pas besoin d’envoyer le client_secret dans la requête, puisqu’il n’est requis que pour les applications confidentielles. Les jetons d’actualisation doivent être stockés de manière sécurisée par une application, puisqu’ils permettent à un utilisateur de rester authentifié pratiquement indéfiniment. Pour en savoir plus sur l’implémentation de cette approche à l’aide du flux de code d’autorisation, consultez notre tutoriel, Call API Using the Authorization Code Flow. Pour les autres octrois, consultez Authentication and Authorization Flows.

Personnaliser la MFA

La MFA personnalisable dans les flux Resource Owner Password Grant, intégrés ou de jeton d’actualisation est en accès anticipé. En utilisant cette fonctionnalité, vous acceptez les conditions applicables de l’essai gratuit prévues dans le Master Subscription Agreement d’Okta. Pour en savoir plus sur les phases de lancement d’Auth0, consultez Product Release Stages. Pour participer au programme d’accès anticipé, communiquez avec Auth0 Support.
La MFA personnalisable permet aux utilisateurs d’inscrire les facteurs de leur choix pris en charge par votre application et de les utiliser lors des demandes de vérification. Lors de l’authentification au point de terminaison oauth/token, la réponse renvoie l’erreur mfa_required, qui inclut le mfa_token à utiliser avec l’API MFA ainsi que le paramètre mfa_requirements, accompagné d’une liste d’authentificateurs : 
{
  "error": "mfa_required",
  "error_description": "Multifactor authentication required",
  "mfa_token": "Fe26...Ha",
  "mfa_requirements": {
    "challenge": [
      { "type": "otp" },
      { "type": "push-notification" },
      { "type": "phone" },
      { "type": "recovery-code" }
      { "type": "email"} //fonctionne uniquement avec challenge
    ]
  }
}
Utilisez le mfa_token pour appeler le point de terminaison mfa/authenticator afin d’obtenir la liste de tous les facteurs que l’utilisateur a inscrits et de repérer celui dont le type est pris en charge par votre application. Vous devez aussi obtenir le authenticator_type correspondant pour déclencher les demandes de vérification : 
[
  {
    "type": "recovery-code",
    "id": "recovery-code|dev_qpOkGUOxBpw6R16t",
    "authenticator_type": "recovery-code",
    "active": true
  },
  {
    "type": "otp",
    "id": "totp|dev_6NWz8awwC8brh2dN",
    "authenticator_type": "otp",
    "active": true
  }
]
Imposez le défi MFA en appelant le point de terminaison request/mfa/challenge. Personnalisez davantage votre flux MFA avec Auth0 Actions. Pour en savoir plus, consultez Déclencheurs Actions : post-challenge - objet API.

En savoir plus