Migration du Flux de mot de passe du propriétaire de ressource
Un soutien pour le mot de passe du propriétaire a été ajouté à /oauth/token. L’utilisation de /oauth/ro comme point de terminaison est déconseillée depuis le 8 juillet 2017. Le point de terminaison /oauth/ro a été utilisé précédemment pour échanger des mots de passe à usage unique (OTP) reçus par l’utilisateur final du service de courriel ou SMS pour un jeton d’ID ou jeton d’accès. Auth0 a mis en place une nouvelle API qui remplace /oauth/ro pour cette utilisation et nous vous recommandons d’effectuer votre migration en utilisant ce nouveau point de terminaison.
Caractéristiques affectées
Ce changement vous concerne si vous utilisez le Flux de mot de passe du propriétaire de ressource (parfois appelé Autorisation de mot de passe du propriétaire de ressource) et appelez /oauth/ro directement sans utiliser de bibliothèques d’Auth0 ou de trousses SDK. Les bibliothèques d’Auth0 comme Lock ou Auth0.js ont été mises à jour pour cesser d’utiliser /oauth/ro à l’interne. Si vous utilisez la bibliothèque lock-passwordless, vous pouvez désormais utiliser le mode sans mot de passe dans Lock.
Lorsque le jeton d’accès d’un utilisateur basé sur /oauth/ro a expiré, Auth0 force l’utilisateur à se réauthentifier (déconnexion forcée requise), car le jeton d’actualisation /oauth/ro ne peut pas être utilisé pour appeler /oauth/token en vue d’obtenir un nouveau jeton d’accès. Tous les utilisateurs actuellement connectés doivent se connecter à nouveau lors d’une migration /oauth/ro vers /oauth/token.
Actions
Changements dans les requêtes
Auparavant, la charge utile d’une requête vers /oauth/ro ressemblait à ceci :
{
"grant_type": "password",
"client_id": "123",
"username": "alice",
"password": "A3ddj3w",
"connection": "my-database-connection",
"scope": "openid email favorite_color offline_access",
"device": "my-device-name"
}Was this helpful?
La nouvelle version intègre les changements suivants :
Le point de terminaison pour exécuter les échanges de jetons est désormais
/oauth/token.Le type d’autorisation propre à Auth0 est utilisé pour authentifier les utilisateurs à partir d’une connexion (ou d’une partition) spécifique.
Auth0 prend en charge les permissions OIDC standard, ainsi que les permissions que vous avez définies dans votre API personnalisée.
Une permission qui ne s’inscrit pas dans l’une de ces catégories, comme
favorite_colorci-dessus, n’est plus une permission valide.Le paramètre
devicea été retiré.Le paramètre
audienceest facultatif.
Voici un exemple de la charge utile d’une requête vers /oauth/token :
{
"grant_type": "http://auth0.com/oauth/grant-type/password-realm",
"client_id": "123",
"username": "alice",
"password": "A3ddj3w",
"realm": "my-database-connection",
"scope": "openid email offline_access",
"audience": "https://api.example.com"
}Was this helpful?
Le type d’autorisation est indiqué ici en tant que
password-realm(partition du mot de passe) plutôt que lepassword(mot de passe) standard.Les paramètres
client_id,username, etpasswordsont inchangés.La
realm(partition) est incluse car nous utilisons le type d’autorisation Partition de mot de passe, qui remplace le paramètreconnection(connexion) des anciennes requêtes.Le paramètre
scopeest sensiblement le même, mais il n’accepte pas les valeurs non OIDC.Le paramètre
audiencepeut être ajouté et indique le type d’audience de l’API auquel le jeton est destiné.
Changements dans les réponses
Les réponses provenant de /oauth/ro avait un format similaire à celui-ci :
{
"access_token": "SlAV32hkKG",
"token_type": "Bearer",
"refresh_token": "8xLOxBtZp8",
"expires_in": 3600,
"id_token": "eyJ..."
}Was this helpful?
Le jeton d’accès renvoyé est valide pour appeler le point de terminaison
/userinfo(à condition que l’API spécifiée par le paramètreaudienceutilise RS256 comme algorithme de signature) et éventuellement l’API personnalisée si elle a été spécifiée.Le jeton d’ID sera signé de force à l’aide de l’algorithme RS256 si un client public en fait la demande.
Un jeton d’actualisation sera renvoyé seulement si la permission
offline_accessa été octroyée et que l’option Autoriser l’accès hors ligne est activée dans l’API.
Voici un exemple de réponse conforme à OIDC provenant de /oauth/token :
{
"access_token": "eyJ...",
"token_type": "Bearer",
"refresh_token": "8xLOxBtZp8",
"expires_in": 3600,
"id_token": "eyJ..."
}Was this helpful?
Vérifier la migration
Une fois que vous avez migré votre base de code et que vous avez la certitude que vos applications ne sont pas en train d’appeler le point de terminaison, allez dans Dashboard > Paramètres du locataire > Avancés.
Faites défiler vers le bas jusqu’à Migrations et désactivez Legacy
/oauth/roEndpoint (Point de terminaison /oauth/ro existant). Ce commutateur permet de désactiver le point de terminaison obsolète pour votre locataire, et empêche ainsi toute utilisation ultérieure.
Si la désactivation du commutateur entraîne des échecs de connexion, c’est le signe que vous n’avez pas encore supprimé toutes les instances de code hérité de vos applications.
Une fois que les migrations ont bien été effectuées dans les environnements de production, le commutateur peut être désactivé et ignoré, afin de s’assurer que les fonctionnalités obsolètes ne peuvent plus être utilisées.