Enregistrer les API
Avant d’enregistrer des API dans le Dashboard Auth0, sachez qu’une API existe déjà : Management API Auth0. Pour en savoir plus sur les fonctionnalités de Management API et ses points de terminaison disponibles, consultez Management API.
Accédez à Tableau de bord Auth0 > Applications > API, puis sélectionnez + Créer API.
Fournissez les informations suivantes pour votre API, puis cliquez sur Créer :
Champ Description Exemple Nom Nom informel de l’API. N’affecte aucune fonctionnalité. yourDomainIdentificateur Identifiant unique de l’API. Auth0 recommande d’utiliser une URL. Auth0 fait la différence entre les URL qui incluent la dernière barre oblique. Par exemple, https://example.comethttps://example.com/sont deux identificateurs différents. L’URL ne doit pas nécessairement être une URL accessible au public. Auth0 n’appellera pas votre API. Cette valeur ne peut pas être modifiée par la suite.https://{yourDomain}Profil du jeton Web JSON (JWT) Le profil détermine le format des jetons d’accès émis pour l’API. Les valeurs possibles sont Auth0etRFC 9068. Pour en savoir plus, lisez la section Profils de jeton d’accès.access_tokenJSON Web Token (JWT) Signing Algorithm (Algorithme de signature de jetons Web JSON) Algorithme avec lequel signer les jetons d’accès. Les valeurs disponibles sont HS256,PS256,RS256. Si vous sélectionnezRS256(recommandé), le jeton sera signé avec la clé privée de votre locataire.HS256Apportez à votre API les modifications d’implémentation décrites dans le guide de démarrage rapide. Ces modifications consistent à choisir une bibliothèque JWT dans une liste prédéfinie et à configurer cette bibliothèque pour valider les jetons d’accès dans votre API.
Si vous créez une nouvelle API personnalisée et disposez également d’applications à page unique ou d’applications natives dans votre locataire, vous devez activer le contrôle d'accès basé sur les rôles (RBAC) afin d’empêcher les utilisateurs connectés à ces applications de générer un jeton d’accès destiné à votre API qui ne tient pas compte des permissions. Pour découvrir comment activer la fonction RBAC pour votre API, veuillez consulter Activer le contrôle d'accès basé sur les rôles pour les API.
Les autres vues de Dashboard disponibles pour votre API sont :
Paramètres : Répertorie les paramètres de votre API. Certains paramètres sont éditables. Ici, vous pouvez modifier l’heure d’expiration du jeton et activer l’accès hors ligne (de cette façon, Auth0 permettra à vos applications de demander des jetons d’actualisation pour cette API).
Permissions : Définissez les permissions de cette API en définissant un nom et une description.
Applications de communication entre machines : Répertorie toutes les applications pour lesquelles l’autorisation Identificants du client est activée. Par défaut, cette autorisation est activée pour les applications Web standards et les applications de communication entre machines. Vous pouvez autoriser l’une de ces applications à demander des jetons d’accès pour votre API. Vous pouvez éventuellement sélectionner un sous-ensemble de permissions définies pour limiter l’accès de votre application autorisée.
Test : Exécutez un exemple de flux des identifiants client avec l’une de vos applications autorisées pour vérifier que tout fonctionne comme prévu.