Passer au contenu principal
Pour appeler les points de terminaison deManagement API v2 Auth0, vous devez vous authentifier à l’aide d’un jeton d’accès appelé jeton de Management API Auth0. Ces jetons sont des Jetons Web JSON (JWT) qui contiennent des autorisations particulières appelées permissions.

Obtenir les jetons de Management API

Vous obtenez un jeton de Management API pour la première fois à des fins de test lorsque vous autorisez une communication entre machines dans Dashboard. Il existe différentes façons d’obtenir les jetons de Management API en fonction de l’utilisation que vous en faites.
  • Test : Vous pouvez obtenir un jeton de test manuellement en suivant les instructions d’Auth0 Dashboard.
  • Production : Auth0 recommande d’obtenir un jeton de courte durée de façon programmatique pour la production.
  • Applications monopage (SPA) : Étant donné que ces applications sont des clients publics et qu’elles ne peuvent pas stocker en toute sécurité des informations sensibles, elles doivent récupérer les jetons de Management API à partir du système du côté client, contrairement à d’autres types d’applications. Il existe certaines limites.

Durée de vie des jetons

Un jeton de Management API est valable 24 heures. Créez un nouveau jeton d’accès lorsque l’ancien expire.

Sécurité des jetons

Lorsque vous utilisez le jeton à des fins de test, vous pouvez modifier le délai d’expiration, mais Auth0 vous recommande d’utiliser des jetons à courte durée de vie pour minimiser les risques de sécurité. Vous ne pouvez pas renouveler ou révoquer un jeton de Management API.
  • Jeton compromis : Si un jeton a été compromis, vous pouvez supprimer l’autorisation de l’application pour empêcher l’émission de nouveaux jetons
  • Secret client compromis : Si votre secret client a été compromis, vous pouvez effectuer une rotation du secret client à l’aide du point de terminaison de Management API /post_rotate_secret ou en cliquant sur l’icône Rotation dans les paramètres de l’application du Dashboard.

Quotas de jetons

Les jetons émis pour les API Auth0 (Management API, Authentication API,  API, etc.) ne sont pas pris en compte dans le quota de jetons de communication machine-machine indiqué dans Dashboard. Seuls les jetons ayant une externe sont pris en compte dans votre quota. Consultez Limites anti-attaques de Management API Auth0 pour obtenir plus de détails. Les limites de quotas de jetons sont réparties par niveau d’abonnement. Consultez Tarification Auth0 pour obtenir plus de détails. Vous pouvez accéder à votre quota actuel dans le Centre d’assistance Auth0. Si vous avez des questions concernant les prix ou les quotas, veuillez les adresser à notre équipe de vente.

En savoir plus