Migrez votre échange d’informations d’identification sans mot de passe du propriétaire de la ressource

Un soutien pour le mot de passe du propriétaire a été ajouté à /oauth/token. L’utilisation de /oauth/ro comme point de terminaison est déconseillée depuis le 8 juillet 2017. Le point de terminaison /oauth/ro a été utilisé précédemment pour échanger des mots de passe à usage unique (OTP) reçus par l’utilisateur final du service de courriel ou SMS pour un jeton d’ID ou jeton d’accès. Auth0 a mis en place une nouvelle API qui remplace /oauth/ro pour cette utilisation et nous vous recommandons d’effectuer votre migration en utilisant ce nouveau point de terminaison.

Cette modification vous concerne si vous utilisez l’échange d’informations d’identification sans mot de passe du propriétaire de la ressource et appelez /oauth/ro directement sans utiliser de bibliothèques ou de trousses SDK Auth0.

Auparavant, la charge utile d’une requête vers /oauth/ro ressemblait à ceci :

{
      "grant_type": "password",
      "client_id": "123",
      "username": "alice",
      "password": "A3ddj3w", 
      "connection": "my-database-connection",
      "scope": "openid email favorite_color offline_access",
      "device": "my-device-name"
    }

Voici les changements apportés à la nouvelle implémentation :

• Le point de terminaison pour exécuter les échanges de jetons est désormais /oauth/token.

• Le type d’autorisation propre à Auth0 est utilisé pour authentifier les utilisateurs à partir d’une connexion (ou d’une partition) spécifique.

• Auth0 prend en charge les permissions OIDC standard, ainsi que les permissions que vous avez définies dans votre API personnalisée.

• Une permission qui ne s’inscrit pas dans l’une de ces catégories, comme favorite_color ci-dessus, n’est plus une permission valide.

• Le paramètre device a été retiré.

• Le paramètre audience est facultatif.

Voici un exemple de la charge utile d’une requête vers /oauth/token :

{
      "grant_type" : "http://auth0.com/oauth/grant-type/passwordless/otp",
      "client_id": "{yourClientId}",
      "client_secret": "{yourClientSecret}", // only for web apps, native apps don’t have a client secret
      "username": "{userEmailAddress}", // or "{userPhoneNumber}"
      "otp": "CODE",
      "realm": "email", // or "sms" 
      "audience" : "{yourApiIdentifier}", // in case you need an access token for a specific API
      "scopes": "openid profile email" // whatever scopes you need
    }

• Le type d’autorisation est spécifié ici comme http://auth0.com/oauth/grant-type/passwordless/otp.

• Les paramètres client_id et username sont inchangés.

• Le client_secret doit être spécifié pour les clients confidentiels (par exemple, les applications Web classiques).

• Le mot de passe à usage unique doit être envoyé dans le paramètre otp au lieu du paramètre password.

• Le realm est utilisé pour identifier la connexion et remplace le paramètre connection des appels précédents.

• Le paramètre scope est sensiblement le même, mais il n’accepte pas les valeurs non OIDC.

• Le paramètre audience peut être ajouté et indique le type d’audience de l’API auquel le jeton est destiné.

Les réponses provenant de /oauth/ro avait un format similaire à celui-ci :

{
      "access_token": "SlAV32hkKG",
      "token_type": "Bearer",
      "refresh_token": "8xLOxBtZp8",
      "expires_in": 3600,
      "id_token": "eyJ..."
    }

• Le jeton d’accès renvoyé est valide pour appeler le point de terminaison /userinfo (à condition que l’API spécifiée par le paramètre audience utilise RS256 comme algorithme de signature) et éventuellement l’API personnalisée si elle a été spécifiée.

• Le jeton d’ID sera signé de force à l’aide de l’algorithme RS256 si un client public en fait la demande.

• Un jeton d’actualisation sera renvoyé seulement si la permission offline_access a été octroyée et que l’option Autoriser l’accès hors ligne est activée dans l’API.

Voici un exemple de réponse conforme à OIDC provenant de /oauth/token :

{
      "access_token": "eyJ...",
      "token_type": "Bearer",
      "refresh_token": "8xLOxBtZp8",
      "expires_in": 3600,
      "id_token": "eyJ..."
    }

Si votre application utilise les bibliothèques natives Auth0 pour Android ou iOS, assurez-vous que la version de la bibliothèque que vous incluez est au moins égale au minimum répertorié ci-dessous (ou supérieure). Assurez-vous également de définir le drapeau OIDC Conformant sur true lors de la configuration des bibliothèques.

1. Pour vérifier si vous utilisez le point de terminaison obsolète, vérifiez le filtre tenant logs, par Deprecation Notice (Avis d’obsolescence) et puis vérifiez les journaux indiquant oauth/ro sans mot de passe : Cette fonctionnalité est en cours d’abandon. Vous pouvez également effectuer cette recherche directement en utilisant la requête suivante : type:depnote AND description:*passwordless*.

2. Une fois que vous avez migré votre base de code et que vous avez la certitude que vos applications ne sont pas en train d’appeler le point de terminaison, accédez à Dashboard sous Tenant Settings (Paramètres du locataire) > Advanced (Avancés).

3. Faites défiler vers le bas jusqu’à Migrations et désactivez Hérité/oauth/ro Point de terminaison. Ce bouton à bascule permet de désactiver le point de terminaison obsolète pour votre locataire, et empêche ainsi toute utilisation ultérieure.

Si la désactivation du commutateur entraîne des échecs de connexion, c’est le signe que vous n’avez pas encore supprimé toutes les instances de code hérité de vos applications.

Une fois que les migrations ont bien été effectuées dans les environnements de production, le commutateur peut être désactivé et ignoré, afin de s’assurer que les fonctionnalités obsolètes ne peuvent plus être utilisées.

• Migration du Flux de mot de passe du propriétaire de ressource