Jetons d’accès à Management API

Pour appeler les points de terminaison deManagement API v2 Auth0, vous devez vous authentifier à l’aide d’un jeton d’accès appelé jeton de Management API Auth0. Ces jetons sont des Jetons Web JSON (JWT) qui contiennent des autorisations particulières appelées permissions.

Vous obtenez un jeton de Management API pour la première fois à des fins de test lorsque vous autorisez une communication entre machines dans Dashboard. Il existe différentes façons d’obtenir les jetons de Management API en fonction de l’utilisation que vous en faites.

• Test : Vous pouvez obtenir un jeton de test manuellement en suivant les instructions d’Auth0 Dashboard.

• Production : Auth0 recommande d’obtenir un jeton de courte durée de façon programmatique pour la production.

• Applications monopage (SPA) : Étant donné que ces applications sont des clients publics et qu’elles ne peuvent pas stocker en toute sécurité des informations sensibles, elles doivent récupérer les jetons de Management API à partir du système du côté client, contrairement à d’autres types d’applications. Il existe certaines limites.

Un jeton de Management API est valable 24 heures. Créez un nouveau jeton d’accès lorsque l’ancien expire.

Lorsque vous utilisez le jeton à des fins de test, vous pouvez modifier le délai d’expiration, mais Auth0 vous recommande d’utiliser des jetons à courte durée de vie pour minimiser les risques de sécurité. Vous ne pouvez pas renouveler ou révoquer un jeton de Management API.

• Jeton compromis : Si un jeton a été compromis, vous pouvez supprimer l’autorisation de l’application pour empêcher l’émission de nouveaux jetons

• Secret client compromis : Si votre secret client a été compromis, vous pouvez effectuer une rotation du secret client à l’aide du point de terminaison de Management API /post_rotate_secret ou en cliquant sur l’icône Rotation dans les paramètres de l’application du Dashboard.

Les jetons émis pour les API Auth0 (Management API, Authentication API, MFA API, etc.) ne sont pas pris en compte dans le quota de jetons de communication machine-machine indiqué dans Dashboard. Seuls les jetons ayant une audience externe sont pris en compte dans votre quota. Consultez Limites anti-attaques de Management API Auth0 pour obtenir plus de détails.

Les limites de quotas de jetons sont réparties par niveau d’abonnement. Consultez Tarification Auth0 pour obtenir plus de détails. Vous pouvez accéder à votre quota actuel dans le Centre d’assistance Auth0. Si vous avez des questions concernant les prix ou les quotas, veuillez les adresser à notre équipe de vente.

• Obtenir des jetons d’accès à Management API pour les tests
• Obtenir des jetons d’accès à Management API pour la production
• Obtenir des jetons d’accès à Management API pour les applications monopages
• Changements dans les jetons d’Auth0 Management API v2
• Migrer vers les points de terminaison de Management API avec des jetons d’accès