Authentification sans mot de passe par SMS
Vous pouvez configurer une connexion sans mot de passe pour envoyer un mot de passe à usage unique (OTP) à un utilisateur par SMS pour terminer l’authentification.
Pour en savoir plus, consultez Configure Email or SMS for Passwordless Authentication (Configurer l’authentification sans mot de passe par courriel ou SMS).
Auth0 prend en charge l’utilisation de Twilio et de passerelles SMS personnalisées pour envoyer des codes OTP. Si vous souhaitez utiliser une passerelle SMS personnalisée, lisez l’article Set Up Custom SMS Gateway for Passwordless Connections (Configurer la passerelle SMS personnalisée pour les connexions sans mot de passe).
Fonctionnement
Lorsqu’un nouvel utilisateur reçoit un code et le saisit pour la première fois sur votre site Web, son profil utilisateur est créé sur la connexion par sms avant d’être authentifié par Auth0.
Si le numéro de téléphone auquel le code OTP a été envoyé correspond à un utilisateur existant, Auth0 authentifie l’utilisateur :
Embedded Login (Connexion intégrée)
Universal Login (Connexion universelle) d’Auth0
Passerelle SMS personnalisée
Vous pouvez également configurer une passerelle SMS personnalisée pour la connexion intégrée ou universelle :
Configurer la connexion
Dans l’Auth0 Dashboard, accédez à Authentication (Authentification) > Passwordless (Sans mot de passe), puis activez le bouton SMS.
Sélectionnez SMS pour ouvrir la fenêtre de configuration.
Configuration des paramètres Twilio
Vous aurez besoin d’un Twilio Account SID (Identifiant de sécurité de compte Twilio et d’un Twilio Auth Token (Jeton d’authentification Twilio). Il s’agit des informations d’identification de l’API Twilio qu’Auth0 utilisera pour envoyer un SMS à l’utilisateur.
Saisissez votre Twilio Account SID (Identifiant de sécurité de compte Twilio) et votre Twilio Auth Token (Jeton d’authentification Twilio).
Pour savoir comment trouver votre SID et jeton d’authentification Twilio, consultez la documentation de Twilio : Comment créer un SID d’application et Jetons d’authentification : comment les modifier.
Sélectionnez la SMS Source (Source de SMS), puis saisissez votre Twilio Messaging Service SID (SID de service de messagerie Twilio) ou un numéro de téléphone dans le champ From (De). Les utilisateurs verront l’information que vous saisissez en tant qu’expéditeur du SMS.
Pour en savoir plus sur l’utilisation des services de messagerie Twilio, consultez la documentation Twilio : Services de messagerie.
Configuration d’une passerelle SMS personnalisée
Si vous souhaitez utiliser votre propre passerelle SMS, vous devrez créer la connexion sans mot de passe, puis la modifier à l’aide de Management API d’Auth0. Pour en savoir plus, lisez l’article Set Up Custom SMS Gateway for Passwordless Connections (Configurer une passerelle SMS personnalisée pour les connexions sans mot de passe).
Configuration des paramètres SMS sans mot de passe
Dans Message, saisissez le corps du texte du SMS.
L’espace réservé
@@password@@sera automatiquement remplacé par le mot de passe à usage unique envoyé à l’utilisateur.Ajustez les paramètres des champs OTP Expiry (Expiration du code OTP) et OTP Length (Longueur du code OTP).
Seul le dernier mot de passe à usage unique (ou lien) émis sera accepté. Une fois le dernier émis, tous les autres sont invalidés. Une fois utilisé, le dernier est également invalidé.
Seules trois tentatives infructueuses de saisie d’un mot de passe à usage unique sont autorisées. Après cela, un nouveau code devra être demandé.
Le mot de passe à usage unique émis sera valide (par défaut) pendant trois minutes avant son expiration.
Si vous choisissez de prolonger le délai d’expiration de votre mot de passe à usage unique, vous devez également en prolonger la longueur. Sinon, un attaquant dispose d’une période plus longue pour tenter de deviner un code court.
Décidez si vous souhaitez Disable Sign Ups (Désactiver les inscriptions). Si vous activez ce paramètre, vous pouvez autoriser l’accès sans mot de passe uniquement aux utilisateurs existants, mais vous risquez d’exposer votre application à la menace d’attaques par énumération. Pour en savoir plus, consultez Meilleures pratiques pour les connexions sans mot de passe.
Sélectionnez Save (Enregistrer).
Assistance multilingue
La zone Message supporte plusieurs langues.
Pour spécifier une langue, appelez le point de terminaison Point de terminaison Auth0 Authentication API Obtenir le code ou le lien et définissez la valeur de l’en-tête x-request-langage. Quand cet en-tête n’est pas défini, la langue est extraite de l’en-tête accept-language, qui est automatiquement défini par le navigateur.
Syntaxe des messages
La zone Message accepte la syntaxe Liquid. Vous pouvez utiliser cette syntaxe, combinée avec des valeurs de paramètres, pour construire par programme des éléments du message.
Par exemple, vous pouvez référencer le paramètre request_language pour changer la langue du message :
{% if request_language contains 'dutch' %}
Hier is uw verificatie code: {{ password }}
{% endif %}
{% if request_language contains 'fr-FR' %}
Ceci est votre code: {{ password }}
{% endif %}Was this helpful?
Les paramètres suivants sont disponibles lors de la définition du modèle de message :
| Paramètre | Description |
|---|---|
password ou code |
Mot de passe à utiliser. |
phone_number |
Numéro de téléphone de l’utilisateur. |
application.name |
Nom de l’application avec laquelle l’utilisateur se connecte. |
request_language |
Langue demandée pour le contenu du message. |
Pour en savoir plus sur Liquid, veuillez lire l’article Liquid pour les designers sur GitHub.
Activer les applications
Basculez vers l’affichage Applications et activez les applications pour lesquelles vous souhaitez utiliser les SMS sans mot de passe.