> ## Documentation Index
> Fetch the complete documentation index at: https://docs-dev-actions-triggers-prototype.mintlify.site/llms.txt
> Use this file to discover all available pages before exploring further.

# Flux de mot de passe du propriétaire de ressource

> Découvrez comment fonctionne le Flux de mot de passe du propriétaire de ressource et pourquoi vous devriez l’utiliser pour des applications de confiance.

<Warning>
  Étant donné que le flux ROP (Resource Owner Password) implique que l’application gère le mot de passe de l’utilisateur, il ne doit pas être utilisé par des clients tiers.
</Warning>

Bien que nous ne le recommandions pas, les applications hautement fiables peuvent utiliser le flux de mot de passe du propriétaire de ressource, (défini dans la [section 4.3 OAuth 2.0 RFC 6749](https://tools.ietf.org/html/rfc6749#section-4.3), parfois appelée <Tooltip href="/docs/fr-ca/glossary?term=resource-owner" tip="Propriétaire de ressources
Entité (telle qu’un utilisateur ou une application) capable d’accorder l’accès à une ressource protégée." cta="Voir le glossaire">Resource Owner</Tooltip> Password Grant ou ROPG - Consentement de mot de passe au propriétaire de la ressource ou ROPG), qui demande aux utilisateurs de fournir des identifiants (nom d’utilisateur et mot de passe), généralement à l’aide d’un formulaire interactif. Comme les informations d’identification sont envoyées au système dorsal et peuvent être stockées pour usage ultérieur avant d’être échangées contre un jeton d’accès, il est impératif que l’application ait une confiance absolue dans ces informations.

Même si cette condition est remplie, le Flux de mot de passe du propriétaire de ressource ne doit être utilisé que lorsque les flux de redirection comme le [Flux de code d’autorisation](/docs/fr-ca/get-started/authentication-and-authorization-flow/authorization-code-flow) ne peuvent pas être utilisés.

## Fonctionnement

<Frame>
  <img src="https://mintcdn.com/docs-dev-actions-triggers-prototype/sobog9Qdm0HQ6dwk/docs/images/fr-ca/cdy7uua7fh8z/4EeYNcnVX1RFcTy5z4lP4v/ac109a41b9ce5ac2a01b43522bb1fa17/ROP_Grant.png?fit=max&auto=format&n=sobog9Qdm0HQ6dwk&q=85&s=6e9bfc1685ecbc1314fcdc00da6e73c0" alt="Diagramme - Flux de mot de passe du propriétaire de ressource" width="2234" height="1330" data-path="docs/images/fr-ca/cdy7uua7fh8z/4EeYNcnVX1RFcTy5z4lP4v/ac109a41b9ce5ac2a01b43522bb1fa17/ROP_Grant.png" />
</Frame>

1. L’utilisateur clique sur **Connexion** au sein de l’application et saisit ses identifiants.
2. Votre application transmet les identifiants de l’utilisateur à votre serveur d’autorisation Auth0 ([point de terminaison `/oauth/token`](/docs/fr-ca/api/authentication#resource-owner-password)).
3. Votre serveur d’autorisations Auth0 valide les informations d’identification.
4. Votre serveur d’autorisations Auth0 répond par un jeton d’accès (et éventuellement un jeton d’actualisation).
5. Votre application peut utiliser le jeton d’accès pour appeler une API afin d’accéder aux informations concernant l’utilisateur.
6. L’API répond avec les données demandées.

## Comment la mettre en œuvre?

La manière la plus simple d’implémenter le Flux de mot de passe du propriétaire de ressource est de suivre notre tutoriel décrivant comment utiliser nos points de terminaison API pour [Appeler votre API à l’aide du flux de mot de passe du propriétaire de ressource](/docs/fr-ca/get-started/authentication-and-authorization-flow/resource-owner-password-flow/call-your-api-using-resource-owner-password-flow).

## Prise en charge des partitions

Auth0 fournit une autorisation d’extension semblable à l’autorisation de mot de passe du propriétaire de ressource, qui vous permet de conserver des répertoires d’utilisateurs distincts (qui correspondent à des connexions distinctes) et de spécifier celui qui doit être utilisé pendant le flux.

Par exemple, supposons que vous souhaitiez présenter une liste déroulante sur l’interface utilisateur de connexion de votre application permettant aux utilisateurs de choisir leur type d’utilisateur : `Employees` ou `Customers`. Dans ce cas, vous devez configurer `Employees` et `Customers` en tant que domaines (et configurer une connexion correspondante pour chacun), ce qui permet de conserver les identifiants des employés et des clients dans des répertoires d’utilisateurs distincts. Lorsque vous demandez un jeton, vous soumettez la valeur du domaine avec les informations d’identification de l’utilisateur et le domaine soumis est utilisé pour vérifier le mot de passe.

Pour en savoir plus sur la mise en œuvre de cet octroi d’extension, veuillez consulter l’article [Appelez votre API à l’aide du flux de mot de passe du propriétaire de ressource : Configurer la prise en charge des partitions](/docs/fr-ca/get-started/authentication-and-authorization-flow/resource-owner-password-flow/call-your-api-using-resource-owner-password-flow).

## Règles

Les règles seront exécutées pour le Flux de mot de passe du propriétaire de ressource (y compris l’autorisation d’extension de la partition). En revanche, les règles de redirection ne fonctionneront pas. Si vous essayez d’effectuer une redirection en spécifiant `context.redirect` dans votre règle, le flux d’authentification renverra une erreur. Pour en savoir plus sur les règles, lisez [Règles d'Auth0](/docs/fr-ca/customize/rules). Pour en savoir plus sur les règles de redirection, veuillez consulter l’article [Rediriger les utilisateurs à partir des règles](/docs/fr-ca/customize/rules/redirect-users).

## Prise en charge MFA

Si vous devez utiliser le Flux de mot de passe du propriétaire de ressource, mais que vous avez besoin d’une authentification plus forte, vous pouvez ajouter l’authentification multifacteur (<Tooltip href="/docs/fr-ca/glossary?term=multifactor-authentication" tip="Authentification multifacteur (MFA)
Processus d’authentification de l’utilisateur qui utilise un facteur en plus du nom d’utilisateur et du mot de passe, tel qu’un code par SMS." cta="Voir le glossaire">MFA</Tooltip>). Pour savoir comment procéder, veuillez consulter l’article [Authentifier à l’aide d’un Flux de mot de passe du propriétaire de ressource avec MFA](/docs/fr-ca/secure/multi-factor-authentication/authenticate-using-ropg-flow-with-mfa).

## Protection contre les attaques

Lorsque vous utilisez le Flux de mot de passe du propriétaire de ressource avec une protection contre les attaques de force brute, certaines fonctionnalités de protection contre les attaques peuvent échouer. Certains problèmes courants peuvent toutefois être évités. Pour en savoir plus, veuillez consulter l’article [Éviter les problèmes courants en utilisant Flux de mot de passe du propriétaire de ressource et Protection contre les attaques](/docs/fr-ca/get-started/authentication-and-authorization-flow/resource-owner-password-flow/avoid-common-issues-with-resource-owner-password-flow-and-attack-protection).

## En savoir plus

* [Règles d'Auth0](/docs/fr-ca/customize/rules)
* [Hooks Auth0](/docs/fr-ca/customize/hooks)
* [Jetons](/docs/fr-ca/secure/tokens)
* [Meilleures pratiques concernant les jetons](/docs/fr-ca/secure/tokens/token-best-practices)
* [Quel flux OAuth 2.0 dois-je utiliser?](/docs/fr-ca/get-started/authentication-and-authorization-flow/which-oauth-2-0-flow-should-i-use)