Vérifier les appels d’API

Avez-vous un jeton d’accès à Management API?

Le jeton d’accès a-t-il expiré?

Le jeton d’accès contenait-il les permissions nécessaires pour l’appel que vous avez passé?

Si une règle ajuste les permissions dans le jeton d’accès ou vérifie si des utilisateurs spécifiques sont autorisés à avoir les permissions, avez-vous vérifié la règle pour vous assurer qu’elle s’exécute correctement?

Obtenez le jeton d’accès à partir d’un fichier HAR et testez-le dans l’explorateur de Auth0 Management API pour voir s’il fonctionne.

Si vous appelez l’Auth0 Management API à partir d’une application qui s’authentifie avec un Flux des identifiants client, notez que les règles ne sont pas exécutées dans ce contexte. Pour une fonctionnalité similaire à celle d’une règle, vous pouvez utiliser une action dans le flux intermachines sur le déclencheur credentials-exchange dans ce contexte.

Vérifier dans le fichier HAR si le jeton d’accès contient les permissions correctes pour appeler l’API.

Vérifier si la réponse à l’appel du point de terminaison /authorize contient un objet de permissions. Si c’est le cas, vérifiez si les permissions renvoyées sont différentes des permissions demandées.

Assurez-vous que votre API peut valider le jeton d’accès. Elle doit valider l'audience, l’émetteur, le client (le cas échéant), l’algorithme de signature, la signature, les demandes et les autorisations.

Si vous rencontrez des erreurs lors de l’expiration d’un jeton d’accès, cela peut être dû à un décalage d’horloge entre différents systèmes ou même entre différentes bibliothèques de langage, comme Java et Node.js. Ce problème peut être résolu en exécutant le protocole NTP sur les serveurs et en configurant une tolérance de décalage horaire dans les bibliothèques utilisées pour valider les jetons, comme jwt.verify.