Valider les jetons d’ID

Un jeton d’ID, qui contient les attributs du profil utilisateur, est consommé par une application et est généralement utilisé pour l’affichage de l’interface utilisateur. Auth0 émet tous les jetons d’ID au format jeton Web JSON (JWT).

Si l’une de ces vérifications échoue, le jeton est considéré comme non valide et la demande doit être rejetée.

1. Validez le JWT.

2. Vérifiez les demandes standard restantes. If you’ve performed the standard JWT validation, you have already decoded the JWT’s Payload and looked at its standard claims. Les demandes restantes à vérifier pour les jetons d’ID sont les suivantes :

   • Audience du jeton (aud, string) : la valeur audience du jeton doit correspondre à l’ID client de l’application tel que défini dans les paramètres de votre application dans le champ ID client.

   • Nombre aléatoire (nonce, string): il est recommandé de transmettre un nonce dans la demande de jeton (obligatoire pour le flux implicite) afin de prévenir les attaques par réinsertion. La valeur nonce du jeton doit correspondre exactement à la valeur nonce originale envoyée dans la demande. Pour plus de détails, voir Atténuer les attaques par rejeu.

• Obtenir des jetons d’ID
• ID Token Structure
• Mise à jour de la durée de vie d’un jeton d’ID
• Atténuer les attaques par réinsertion lors de l'utilisation du flux implicite