Flux de code d’autorisation

Le flux de code d’autorisation (défini dans OAuth 2.0 RFC 6749, section 4.1) implique l’échange d’un code d’autorisation contre un jeton.

Ce flux ne peut être utilisé que pour des applications confidentielles (telles que les applications web ordinaires), car les méthodes d’authentification de l’application sont incluses dans l’échange et doivent être sécurisées.

Fonctionnement du flux Codes d’autorisation

Auth - Auth code flow- Authorization sequence diagram (Auth - Flux du code Auth - Diagramme de séquence d’autorisation)

  1. L’utilisateur sélectionne Connexion dans l’application.

  2. La trousse SDK Auth0 redirige l’utilisateur vers le serveur d’autorisation Auth0 (point de terminaison /authorize).

  3. Le serveur d’autorisations Auth0 redirige l’utilisateur vers l’invite de connexion et d’autorisation.

  4. L’utilisateur s’authentifie en choisissant l’une des options de connexion configurées et peut voir apparaître une invite de consentement énumérant les autorisations qu’Auth0 accordera à l’application.

  5. Le serveur d’autorisations Auth0 redirige l’utilisateur vers l’application avec un code d’autorisation à usage unique.

  6. La trousse SDK Auth0 envoie le code d’autorisation, l’ID client de l’application et les identifiants de l’application, telles que le secret du client ou la clé privée JWT, au serveur d’autorisations Auth0 (point de terminaison/oauth/token).

  7. Le serveur d’autorisations Auth0 vérifie le code d’autorisation, l’ID client de l’application et les identifiants de l’application.

  8. Le serveur d’autorisations Auth0 répond avec un jeton d’ID et un jeton d’accès (et éventuellement un jeton d’actualisation).

  9. L’application peut utiliser le jeton d’accès pour appeler une API afin d’accéder aux informations concernant l’utilisateur.

  10. L’API répond avec les données demandées.

Comment implémenter le flux Codes d’autorisation

La manière la plus simple de mettre en œuvre le flux de code d’autorisation est de suivre les étapes dans notre Guides de démarrage rapide pour applications Web classiques.

Vous pouvez également utiliser l’Authentication API pour implémenter le flux Codes d’autorisation. Pour plus d’informations, lisez Ajouter une connexion à l’aide du flux de code d’autorisation ou Appeler votre API à l’aide du flux de code d’autorisation.

En savoir plus