> ## Documentation Index
> Fetch the complete documentation index at: https://auth0.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Utiliser des jetons d'accès

> Décrit comment utiliser des jetons d'accès pour appeler les API.

Les jetons d’accès sont utilisés dans l’authentification basée sur les jetons pour permettre à une application d’accéder à une API. Par exemple, une application de calendrier a besoin d'accéder à une API de calendrier dans le nuage pour pouvoir consulter les événements programmés de l'utilisateur et créer de nouveaux événements.

Une fois qu'une application a reçu un jeton d'accès, elle inclura ce jeton comme identifiant lors de l'envoi de requêtes API. Pour cela, elle doit transmettre le jeton d'accès à l'API en tant qu'identifiant **Porteur** dans un en-tête HTTP **Autorisation**.

Par exemple :

```http lines theme={null}
GET /calendar/v1/events
    Host​: api.example.com
    
    Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJodHRwczovL2V4YW1wbGUuYXV0aDAuY29tLyIsImF1ZCI6Imh0dHBzOi8vYXBpLmV4YW1wbGUuY29tL2NhbGFuZGFyL3YxLyIsInN1YiI6InVzcl8xMjMiLCJpYXQiOjE0NTg3ODU3OTYsImV4cCI6MTQ1ODg3MjE5Nn0.CA7eaHjIHz5NxeIJoFK9krqaeZrPLwmMmgI_XiQiIkQ
```

Dans cet exemple, le jeton d’accès est un jeton web JSON (<Tooltip href="/docs/fr-ca/glossary?term=json-web-token" tip="Jeton Web JSON (JWT)
Format standard de jeton d’ID (et souvent de jeton d’accès) utilisé pour représenter en toute sécurité des demandes entre deux parties." cta="Voir le glossaire">JWT</Tooltip>) qui décode les demandes suivantes :

```json lines theme={null}
{
      "alg": "RS256",
      "typ": "JWT"
    }
    .
    {
      "iss": "https://example.auth0.com/",
      "aud": "https://api.example.com/calendar/v1/",
      "sub": "usr_123",
      "scope": "read write",
      "iat": 1458785796,
      "exp": 1458872196
    }
```

Avant d'autoriser l'accès à l'API à l'aide de ce jeton, l'API doit [valider le jeton d'accès](/docs/fr-ca/secure/tokens/access-tokens/validate-access-tokens).

Une fois que le jeton d’accès a bien été validé, l’API peut être assurée que :

* Le jeton a été émis par Auth0.
* Le jeton a été émis pour une application utilisée par un utilisateur ayant l'identifiant `usr_123`.
* L'utilisateur a accordé à l'application l'accès pour lire et écrire dans son calendrier.

L'API peut désormais traiter la requête, ce qui permet à l'application de lire et d'écrire dans le calendrier de l'utilisateur `usr_123`.

## En savoir plus

* [Obtenir des jetons d’accès](/docs/fr-ca/secure/tokens/access-tokens/get-access-tokens)
* [Valider les jetons d’accès](/docs/fr-ca/secure/tokens/access-tokens/validate-access-tokens)
* [Jetons d’accès de fournisseur d’identité](/docs/fr-ca/secure/tokens/access-tokens/identity-provider-access-tokens)
* [Jetons d’accès à Management API](/docs/fr-ca/secure/tokens/access-tokens/management-api-access-tokens)
* [Jetons Web JSON](/docs/fr-ca/secure/tokens/json-web-tokens)
* [Meilleures pratiques concernant les jetons](/docs/fr-ca/secure/tokens/token-best-practices)
