Refuser l’accès d’un utilisateur à une API à l’aide de règles

À utiliser uniquement avec l’extension Authorization d’Auth0. Si vous utilisez l’ensemble de fonctionnalités Authorization Core, vous devez utiliser l’option built-in token dialects à la place. Pour en savoir plus, lisez Authorization Core par rapport à Authorization Extension.

Allez dans Dashboard (Tableau de bord) > Auth0 Pipeline (Pipeline Auth0) > Rules (Règles). Vous pouvez définir des Règles pour un certain nombre d’objectifs différents, de la gestion des utilisateurs à l’enrichissement de leurs profils. Si vous devez refuser à un utilisateur l’accès à votre API, vous pouvez créer des Rôles avec des permissions assignées, puis créer une règle pour supprimer les permissions du Jeton d’accès :

{
function (user, context, callback) {
  var permissions = user.permissions || [];
  var requestedScopes = context.request.body.scope || context.request.query.scope;
  var filteredScopes = requestedScopes.split(' ').filter( function(x) {
      return x.indexOf(':') < 0;
  });

  var allScopes = filteredScopes.concat(permissions);
  context.accessToken.scope = allScopes.join(' ');

  callback(null, user, context);
}

Was this helpful?

Gérer les utilisateurs

Refuser l’accès d’un utilisateur à une API à l’aide de règles