API
Une API est une entité qui représente une ressource externe, capable d’accepter des demandes de ressources protégées faites par des applications et d’y répondre. Dans la spécification OAuth2, une API correspond au Serveur de ressources.
À un moment donné, vos API personnalisées devront autoriser un accès limité à leurs ressources protégées au nom des utilisateurs. L’autorisation fait référence au processus de vérification de l’accès d’un utilisateur. Bien qu’elle soit souvent utilisée de manière interchangeable avec l’authentification, l’autorisation représente une fonction fondamentalement différente. Pour en savoir plus, lisez Authentification et autorisation.
Dans le cadre de l’autorisation, un utilisateur ou une application se voit accorder l’accès à une API après que celle-ci a déterminé l’étendue des permissions qu’elle doit attribuer. En général, l’autorisation intervient après que l’identité a été validée avec succès par l’authentification, de sorte que l’API a une idée du type d’accès qu’elle doit accorder.
L’autorisation peut être déterminée à l’aide de politiques et de règles, qui peuvent être utilisées avec le contrôle d’accès basé sur les rôles (RBAC). Que le RBAC soit utilisé ou non, l’accès demandé est transmis à l’API via les permissions et l’accès accordé est renvoyé sous la forme de jetons d’accès émis.
L’application peut alors utiliser le jeton d’accès pour accéder aux ressources protégées de l’API. Le même jeton d’accès peut être utilisé pour accéder aux ressources de l’API sans avoir à s’authentifier à nouveau jusqu’à ce qu’il expire.
Permissions de l’API
Étant donné que seule l’API peut connaître toutes les actions possibles qu’elle peut gérer, elle doit disposer de son propre système de contrôle d’accès interne dans lequel elle définit ses propres autorisations. Pour déterminer les autorisations effectives d’une application appelante, une API doit combiner les permissions entrantes avec les autorisations attribuées dans son propre système de contrôle d’accès interne et prendre des décisions de contrôle d’accès en conséquence.
Configurer une API
Pour protéger une API, vous devez enregistrer une API en utilisant l’Auth0 Dashboard. Pour en savoir plus, voir Enregistrer des API.
Avant d’enregistrer des API dans le Dashboard Auth0, sachez qu’une API existe déjà : Management API Auth0. Pour en savoir plus sur les fonctionnalités de Management API et ses points de terminaison disponibles, consultez Management API.