Configurer le profil du jeton d’accès
Vous pouvez choisir le profil de jeton d’accès à utiliser pour vos API : le profil de jeton Auth0 ou le profil de jeton RFC 9068. Le profil de jeton d’accès que vous configurez détermine le format des jetons d’accès émis pour l’API.
Par défaut, Auth0 émet des jetons d’accès en utilisant le profil de jeton Auth0. Le profil de jeton Auth0 émet des jetons d’accès au format de Jetons Web JSON (JWT), qui contiennent des informations sur une entité sous forme de demandes.
Auth0 prend également en charge le profil de jeton RFC 9068. Le profil de jeton RFC 9068 émet des jetons d’accès formatés en JWT suivant le profil Profil IETF JWT pour les Jetons d’accès OAuth 2.0 (RFC 9068). Pour en savoir plus sur les différences entre ces profils de jetons, consultez Profils de jetons d’accès.
Lorsque vous enregistrez une API, vous pouvez sélectionner le profil de jeton d’accès dans l’Auth0 Dashboard. Après avoir enregistré l’API, vous pouvez configurer le profil de jeton d’accès à tout moment en utilisant la Management API et l’Auth0 Dashboard.
Configurer le profil de jeton d’accès pour un API
1. Rendez-vous dans Dashboard > Applications > API et cliquez sur le nom de l’API pour l’afficher.
2. Faites défiler l’écran jusqu’à Paramètres de jeton d’accès et sélectionnez le profil du jeton d’accès sous Profil du jeton Web JSON (JWT). Le profil sélectionné détermine le format et les demandes des jetons d’accès émis pour l’API. Les valeurs prises en charge sont Auth0 et RFC 9068. Pour en savoir plus sur la différence entre les deux profils, lisez Profils de jeton d’accès.
3. Cliquez sur Save (Enregistrer).
Lorsque vous utilisez Management API, nous désignons les profils de jeton d’accès par le terme de dialectes de jeton. Pour configurer votre profil de jeton d’accès, définissez le paramètre token_dialect pour une API utilisant Management API.
L’exemple de code suivant envoie une demande PATCH au point de terminaison Mettre à jour un serveur de ressources :
curl --request PATCH \
--url 'https://{yourDomain}/api/v2/resource-servers/API_ID' \
--header 'authorization: Bearer MGMT_API_ACCESS_TOKEN' \
--header 'content-type: application/json' \
--data '{"token_dialect": "TOKEN_DIALECT" }'Was this helpful?
Remplacez les valeurs API_ID, MGMT_API_ACCESS_TOKEN et TOKEN_DIALECT par leurs valeurs respectives, comme indiqué dans le tableau suivant :
| Paramètre | Description |
|---|---|
API_ID |
ID de l’API pour laquelle vous souhaitez mettre à jour le dialecte des jetons. |
MGMT_API_ACCESS_TOKEN |
Jeton d’accès pour Management API avec la permission update:resource_servers. |
TOKEN_DIALECT |
Dialecte du jeton d’accès pour l’API indiquée. Pour en savoir plus, consultez Options du dialecte des jetons. |
Options de dialecte des jetons
Auth0 prend en charge les dialectes des jetons suivants :
| Valeur | Description |
|---|---|
access_token |
Le profil de jeton Auth0 par défaut génère un jeton d’accès formaté comme un jeton Web JSON (JWT). Pour en savoir plus, lisez Profils de jetons d’accès. |
access_token_authz |
Le profil de jeton Auth0 token par défaut (access_token) avec la demande de « permissions ». Pour en apprendre plus au sujet des permissions du contrôle d’accès basé sur les rôles (RBAC) Activer le contrôle d’accès basé sur les rôles (Role-Based Access Control, RBAC). |
rfc9068_profile |
Le profil de jeton de la norme RFC 9068 génère un jeton d’accès formaté comme un jeton Web JSON (JWT) conforme à la norme IETF JWT Profile for OAuth 2.0 Access Tokens (Profil IETF JWT pour les jetons d’accès OAuth 2.0) (RFC 9068). Pour en savoir plus, lisez Profils des jetons d’accès. |
rfc9068_profile_authz |
Le profil de la norme RFC 9086 (rfc9068_profile) avec la demande permissions. Pour en savoir plus sur les permissions RBAC, consultez Activer le contrôle d'accès basé sur les rôles (RBAC) pour les API. |