Obtenir des jetons d’ID

Pour obtenir un jeton d’ID, vous devez le demander lors de l’authentification des utilisateurs. Auth0 permet à votre application d’authentifier facilement les utilisateurs :

• Guides de démarrage rapide : la manière la plus simple de mettre en œuvre l’authentification, qui vous explique comment utiliser la connexion universelle, le widget Lock et les trousses SDK spécifiques au langage et au cadre d’applications d’Auth0. Nos documentations Lock et Auth0.js fournissent des précisions sur la récupération d’un jeton d’ID après l’authentification.

• Authentication API : si vous préférez créer votre propre API, vous pouvez l’appeler directement. Tout d’abord, vous devez savoir quel flux utiliser avant de suivre le tutoriel correspondant au flux en question.

Vous contrôlez les demandes concernant l’utilisateur authentifié qui sont incluses dans le jeton d’ID consommé par votre application en incluant des permissions OpenID Connect spécifiques dans le paramètre scope lorsque vous demandez des jetons lors de l’authentification des utilisateurs.

Vous pouvez également créer des demandes personnalisées, c’est-à-dire des demandes que vous définissez, contrôlez et ajoutez à un jeton à l’aide d’une règle. Comme pour les autres JWT, vous devez valider un jeton d’ID avant de supposer que son contenu est fiable.

Par défaut, un jeton d’ID est valable pendant 36 000 secondes (10 heures). En cas de problèmes de sécurité, vous pouvez raccourcir le délai d’expiration du jeton, mais n’oubliez pas que l’un des objectifs de ce jeton est d’améliorer les performances en mettant en cache les informations de l’utilisateur.

Une fois que votre jeton d’ID a expiré, vous voudrez peut-être le renouveler. Pour renouveler le jeton d’ID, vous pouvez réauthentifier l’utilisateur à l’aide d’Auth0 ou utiliser un jeton d’actualisation.

• Valider les jetons d’ID
• Jetons Web JSON
• Demandes de jetons Web JSON
• Meilleures pratiques concernant les jetons