Passer au contenu principal
Le pipeline d’authentification conforme à l’OIDC prend charge la définition des serveurs de ressources (tels que les API) en tant qu’entités distinctes des applications. Cela vous permet de découpler les API des applications qui les consomment, et vous permet également de définir des applications tierces permettant à des tiers d’accéder en toute sécurité à des ressources protégées derrière votre API. Si un utilisateur s’authentifie par l’intermédiaire d’une application tierce et que l’application demande l’autorisation d’accéder aux informations de l’utilisateur ou d’effectuer une action en son nom au niveau d’une API, l’utilisateur verra s’afficher une boîte de dialogue de consentement. Par exemple, cette demande : 
GET /authorize?
client_id=some_third_party_client
&redirect_uri=https://fabrikam.com/contoso_social
&response_type=token id_token
&__scope=openid profile email read:posts write:posts__
&__audience=https://social.contoso.com__
&nonce=...
&state=...
Le dialogue de consentement de l’utilisateur s’affiche :
Authorization (Autorisation) - User consent and applications (Applications et consentement utilisateur) - consent-dialog (Dialogue de consentement)
Si l’utilisateur autorise la demande de l’application, cela crée une autorisation de l’utilisateur, laquelle représente le consentement de l’utilisateur à cette combinaison d’application, de serveur de ressources et de permissions demandées. L’application reçoit alors une réponse d’authentification réussie de la part d’Auth0, comme d’habitude. Une fois le consentement donné, l’utilisateur ne verra plus la boîte de dialogue de consentement lors des connexions suivantes, jusqu’à ce qu’il révoque explicitement son consentement.

Description du permission

Par défaut, la page de consentement utilisera les noms des champs d’application pour demander le consentement de l’utilisateur. Comme indiqué ci-dessous, vous devez déf](/docs/images/ermissions à l’aide du format action:resource_name.
Authorization (Autorisation) - User consent and applications (Applications et consentement utilisateur) - Consent scopes (Champs d’application du consentement)
La page de consentement regroupe les permissions d’une même ressource et affiche toutes les actions relatives à cette ressource sur une seule ligne. Par exemple, la configuration ci-dessus se traduirait par Messages : consultez et écrivez vos messages. Si vous souhaitez afficher le champ Description à la place, vous pouvez le faire en définissant le champ use_scope_descriptions_for_consent sur true. Cela affectera les invites de consentement pour toutes les API de ce locataire. Pour définir l’indicateur use_scope_descriptions_for_consent vous devrez faire la requête appropriée à l’API :

Traiter les autorisations rejetées

Si un utilisateur décide de refuser le consentement à l’application, il sera redirigé vers le redirect_uri spécifié dans la demande avec une erreur access_denied : 
HTTP/1.1 302 Found
Location: https://fabrikam.com/contoso_social#
    error=access_denied
    &state=...
Les applications de première partie peuvent ignorer la boîte de dialogue de consentement, mais uniquement si l’API à laquelle elles tentent d’accéder au nom de l’utilisateur dispose de l’option Permettre d’ignorer le consentement de l’utilisateur. Pour naviguer jusqu’à la bascule Permettre d’ignorer le consentement de l’utilisateur , sélectionnez Applications > API > (sélectionnez l’API) > Paramètres > Paramètres d’accès.

Consentement de l’utilisateur et applications

Remarque : cette option permet aux applications de première partie vérifiables d’ignorer le consentement. Compte tenu que localhost n’est jamais une première partie vérifiable (car des applications malveillantes peuvent s’exécuter sur localhost pour un utilisateur), Auth0 affichera toujours un dialogue de consentement pour les applications s’exécutant sur localhost, peu importe si elles sont marquées ou non comme applications de première partie. Au cours du développement, vous pouvez contourner cette limitation en modifiant votre fichier /etc/hosts en y ajoutant une entrée comme suit :127.0.0.1 myapp.exampleDe la même façon, vous ne pouvez pas ignorer le consentement (même pour les applications première partie) si localhost apparaît dans n’importe quel domaine dans le paramètre URL de rappel autorisées dans Dashboard > Applications > Settings (Paramètres). Assurez-vous de mettre à jour les URL de rappel autorisées et l’URL de rappel autorisée dans votre application pour correspondre au mapping du domaine mis à jour.
Puisque les applications tierces sont jugées ne pas être fiables, elles ne peuvent pas ignorer les boîtes de dialogue de consentement. Si un utilisateur a donné son consentement mais que vous souhaitez le révoquer :
  1. Accédez à Auth0 Dashboard > Gestion des utilisateurs > Utilisateurs, et cliquez sur l’utilisateur pour lequel vous souhaitez révoquer le consentement.
  2. Cliquez sur l’onglet Applications autorisées,
  3. Cliquez sur Révoquer à côté de l’application.

Flux basés sur un mot de passe

Lors de l’utilisation du Flux de mot de passe du propriétaire de ressource, il n’y a pas de dialogue de consentement car l’utilisateur fournit directement son mot de passe à l’application, ce qui équivaut à accorder à l’application un accès complet au compte de l’utilisateur. Lors de la redirection vers le point de terminaison /authorize, l’inclusion du paramètre prompt=consent obligera les utilisateurs à donner leur consentement, même s’ils disposent déjà d’une autorisation d’accès à l’application et aux permissions demandées.

En savoir plus