Utiliser des jetons d'accès

Les jetons d’accès sont utilisés dans l’authentification basée sur les jetons pour permettre à une application d’accéder à une API. Par exemple, une application de calendrier a besoin d'accéder à une API de calendrier dans le nuage pour pouvoir consulter les événements programmés de l'utilisateur et créer de nouveaux événements.

Une fois qu'une application a reçu un jeton d'accès, elle inclura ce jeton comme identifiant lors de l'envoi de requêtes API. Pour cela, elle doit transmettre le jeton d'accès à l'API en tant qu'identifiant Porteur dans un en-tête HTTP Autorisation.

Par exemple :

GET /calendar/v1/events
    Host​: api.example.com
    
    Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJodHRwczovL2V4YW1wbGUuYXV0aDAuY29tLyIsImF1ZCI6Imh0dHBzOi8vYXBpLmV4YW1wbGUuY29tL2NhbGFuZGFyL3YxLyIsInN1YiI6InVzcl8xMjMiLCJpYXQiOjE0NTg3ODU3OTYsImV4cCI6MTQ1ODg3MjE5Nn0.CA7eaHjIHz5NxeIJoFK9krqaeZrPLwmMmgI_XiQiIkQ

Was this helpful?

/

Dans cet exemple, le jeton d’accès est un jeton web JSON (JWT) qui décode les demandes suivantes :

{
      "alg": "RS256",
      "typ": "JWT"
    }
    .
    {
      "iss": "https://example.auth0.com/",
      "aud": "https://api.example.com/calendar/v1/",
      "sub": "usr_123",
      "scope": "read write",
      "iat": 1458785796,
      "exp": 1458872196
    }

Was this helpful?

/

Avant d'autoriser l'accès à l'API à l'aide de ce jeton, l'API doit valider le jeton d'accès.

Une fois que le jeton d’accès a bien été validé, l’API peut être assurée que :

  • Le jeton a été émis par Auth0.

  • Le jeton a été émis pour une application utilisée par un utilisateur ayant l'identifiant usr_123.

  • L'utilisateur a accordé à l'application l'accès pour lire et écrire dans son calendrier.

L'API peut désormais traiter la requête, ce qui permet à l'application de lire et d'écrire dans le calendrier de l'utilisateur usr_123.

En savoir plus