Rules を使用して API へのユーザーアクセスを拒否する

Auth0 の Authorization Extension でのみ使用できます。Authorization Core feature set を使用している場合は、代わりに組み込みのトークンダイアレクトを使用してください。詳しくは、Authorization Core と Authorization Extension の比較を参照してください。

Dashboard > Auth0 Pipeline > Rules に移動します。Rules は、ユーザー管理からユーザープロフィールの拡張まで、さまざまな目的に使用できます。ユーザーの API へのアクセスを拒否する必要がある場合は、スコープが割り当てられたロールを作成し、次にからスコープを削除する Rule を作成できます。

{
function (user, context, callback) {
  var permissions = user.permissions || [];
  var requestedScopes = context.request.body.scope || context.request.query.scope;
  var filteredScopes = requestedScopes.split(' ').filter( function(x) {
      return x.indexOf(':') < 0;
  });

  var allScopes = filteredScopes.concat(permissions);
  context.accessToken.scope = allScopes.join(' ');

  callback(null, user, context);
}

アプリケーションへのユーザーアクセスを管理する

テナント管理者がユーザーをブロックおよびブロック解除する方法