> ## Documentation Index
> Fetch the complete documentation index at: https://docs-dev-actions-triggers-prototype.mintlify.site/llms.txt
> Use this file to discover all available pages before exploring further.

# Refuser l’accès d’un utilisateur à une API à l’aide de règles

> Apprenez à utiliser Authorization Extension d’Auth0 pour refuser aux utilisateurs l’accès à une API à l’aide de règles.

<Callout icon="file-lines" color="#0EA5E9" iconType="regular">
  À utiliser uniquement avec l’extension Authorization d’Auth0. Si vous utilisez l’ensemble de fonctionnalités Authorization Core, vous devez utiliser l’option [built-in token dialects](https://auth0.com/docs/authorization/rbac/enable-role-based-access-control-for-apis#token-dialect-options) à la place. Pour en savoir plus, lisez [Authorization Core par rapport à Authorization Extension](https://auth0.com/docs/authorization/authorization-core-vs-authorization-extension).
</Callout>

Allez dans [Dashboard (Tableau de bord) > Auth0 Pipeline (Pipeline Auth0) > Rules (Règles)](https://manage.auth0.com/#/rules). Vous pouvez définir des [Règles](/docs/fr-ca/customize/rules) pour un certain nombre d’objectifs différents, de la gestion des utilisateurs à l’enrichissement de leurs profils. Si vous devez refuser à un utilisateur l’accès à votre API, vous pouvez créer des Rôles avec des permissions assignées, puis créer une règle pour supprimer les permissions du Jeton d’accès :

```javascript lines theme={null}
{
function (user, context, callback) {
  var permissions = user.permissions || [];
  var requestedScopes = context.request.body.scope || context.request.query.scope;
  var filteredScopes = requestedScopes.split(' ').filter( function(x) {
      return x.indexOf(':') < 0;
  });

  var allScopes = filteredScopes.concat(permissions);
  context.accessToken.scope = allScopes.join(' ');

  callback(null, user, context);
}
```