Passer au contenu principal

Documentation Index

Fetch the complete documentation index at: https://auth0.com/llms.txt

Use this file to discover all available pages before exploring further.

POST /oauth/token
Ce flux ne doit être utilisé qu’à partir d’applications hautement fiables qui ne peuvent pas effectuer de redirections. Si vous pouvez utiliser des flux basés sur des redirections à partir de votre application, nous vous recommandons d’utiliser le flux de code d’autorisation à la place.
Il s’agit de l’autorisation OAuth 2.0 que les applications hautement fiables utilisent pour accéder à une API. Dans ce flux, on demande à l’utilisateur final de renseigner ses identifiants (nom d’utilisateur/mot de passe), typiquement en utilisant un formulaire interactif dans l’agent utilisateur (navigateur). Cette information est envoyée au système dorsal, et de là à Auth0. Il est donc impératif de pouvoir faire confiance à l’application.

En-têtes de la demande

ParamètreDescriptionauth0-forwarded-forIP de l’utilisateur final sous forme de valeur de chaîne. Définissez ce paramètre si vous souhaitez que la protection contre les attaques de force brute fonctionne dans les scénarios côté serveur.

Réponses

200

Une réponse réussie renvoie un jeton d’accès. 
HTTP/1.1 200 OK
Content-Type: application/json
{  "access_token":"eyJz93a...k4laUWw",  "token_type":"Bearer",  "expires_in":86400}

Remarques

  • Les permissions accordées à l’application peuvent être différentes des permissions demandées. Dans ce cas, un paramètre scope sera inclus dans la réponse JSON.
  • Si vous ne demandez pas de permissions particulières, toutes les permissions définies pour le public seront renvoyées en raison de la confiance implicite accordée à l’application dans le cadre de cette autorisation.
  • Pour ajouter la prise en charge des partitions, définissez grant_type comme http://auth0.com/oauth/grant-type/password-realm, et realm comme la partition à laquelle l’utilisateur appartient. Cela correspond à une connexion dans Auth0.
  • Outre le nom d’utilisateur et le mot de passe, Auth0 peut demander à l’utilisateur final de fournir un facteur supplémentaire comme preuve d’identité. La demande peut renvoyer une erreur mfa_required accompagnée d’un mfa_token pour l’authentification multifacteur.

En savoir plus

Parameters

grant_type
string
Indique le flux que vous utilisez. Pour le mot de passe du propriétaire de la ressource, utilisez password.
username
string
Identifiant du propriétaire de la ressource, tel que le nom d’utilisateur ou l’adresse courriel.
password
string
Secret du propriétaire de la ressource.
audience
string
L’identifiant unique de l’API cible à laquelle vous souhaitez accéder.
scope
string
Valeur de chaîne des différentes permissions demandées par l’application.
client_id
string
L’identifiant client de votre application.
client_secret
string
Le secret client de votre application.
realm
string
Valeur de chaîne de la partition à laquelle l’utilisateur appartient.

Response

StatusDescription
200Renvoie le jeton d’accès.