> ## Documentation Index
> Fetch the complete documentation index at: https://docs-dev-actions-triggers-prototype.mintlify.site/llms.txt
> Use this file to discover all available pages before exploring further.

# Jetons d’accès

> Décrit comment les jetons d’accès sont utilisés dans l’authentification basée sur les jetons pour permettre à une application d’accéder à une API après qu’un utilisateur se soit authentifié avec succès et ait autorisé l’accès

<Card title="Overview">
  Principaux concepts

  * Découvrez l’authentification à base de jetons.
  * Lisez comment Auth0 utilise les jetons d’accès Web JSON (JWT) autonomes, conformes à la structure JSON avec demandes standard.
  * Passez en revue l’exemple de jeton d’accès fourni et les paramètres nécessaires.
  * Définissez la durée de vie des jetons d’accès, sur la base de la durée par défaut.
</Card>

Les jetons d’accès sont utilisés dans l’authentification basée sur les jetons pour permettre à une application d’accéder à une API. L’application reçoit un jeton d’accès après qu’un utilisateur se soit authentifié avec succès et ait autorisé l’accès, puis transmet le jeton d’accès en tant que justificatif lorsqu’elle appelle l’API cible. Le jeton transmis informe l’API que le porteur du jeton a été autorisé à accéder à l’API et à effectuer des actions spécifiques précisées par les autorisations <Tooltip href="/docs/fr-ca/glossary?term=scope" tip="Permission Mécanisme qui détermine les actions que les applications peuvent effectuer au nom d’un utilisateur avec des informations préalablement créées dans une ressource en ligne." cta="Voir le glossaire">Permission</Tooltip> qui lui ont été accordées lors de l’autorisation.

De plus, si vous avez choisi de permettre aux utilisateurs de se connecter via un(e) <Tooltip href="/docs/fr-ca/glossary?term=idp" tip="Fournisseur d’identité (IdP) Service de stockage et de gestion des identités numériques." cta="Voir le glossaire">Fournisseur d’identité (IdP)</Tooltip>, tel que Facebook, le fournisseur d’identité (<Tooltip href="/docs/fr-ca/glossary?term=idp" tip="Fournisseur d’identité (IdP) Service de stockage et de gestion des identités numériques." cta="Voir le glossaire">IdP</Tooltip>) émettra son propre jeton d’accès pour permettre à votre application d’appeler l’API de l’IdP. Par exemple, si votre utilisateur s’authentifie en utilisant Facebook, le jeton d’accès émis par Facebook peut être utilisé pour appeler l’API Graph de Facebook. Ces jetons sont contrôlés par le fournisseur d’identité et peuvent être émis dans n’importe quel format. Consulter [Jetons d’accès de fournisseur d’identité](/docs/fr-ca/secure/tokens/access-tokens/identity-provider-access-tokens) pour plus de détails.

## Jetons d’accès opaques

Les jetons d’accès opaques sont des jetons dans un format propriétaire auxquels vous ne pouvez pas accéder et contiennent généralement un identifiant pour des informations stockées de manière persistante sur un serveur. Pour valider un jeton opaque, le destinataire du jeton doit appeler le serveur qui a émis le jeton.

Dans le cas d’Auth0, les jetons opaques peuvent être utilisés avec le point de terminaison `/userinfo` pour renvoyer un profil utilisateur. Si vous recevez un jeton d’accès opaque, vous n’avez pas besoin de le valider. Vous pouvez l’utiliser avec le point de terminaison `/userinfo`, et Auth0 s’occupe du reste. Pour en savoir plus, consultez [Obtenir des jetons d’accès](/docs/fr-ca/secure/tokens/access-tokens/get-access-tokens).

## Jetons d’accès JWT

Les jetons d’accès Web JSON (<Tooltip href="/docs/fr-ca/glossary?term=json-web-token" tip="Jeton Web JSON (JWT) Format standard de jeton d’ID (et souvent de jeton d’accès) utilisé pour représenter en toute sécurité des demandes entre deux parties." cta="Voir le glossaire">JWT</Tooltip>) sont conformes à la [norme JWT](https://tools.ietf.org/html/rfc7519) et contiennent des informations sur une entité sous la forme de demandes. Ils sont auto-suffisants, il n’est donc pas nécessaire pour le destinataire d’appeler un serveur pour valider le jeton

Les jetons d’accès émis pour <Tooltip href="/docs/fr-ca/glossary?term=management-api" tip="Management API Un produit permettant aux clients d’effectuer des tâches administratives." cta="Voir le glossaire">Management API</Tooltip> et les jetons d’accès émis pour toute API personnalisée que vous avez enregistrée auprès d’Auth0 respectent la norme JWT, ce qui signifie que leur structure de base est conforme à la [structure JWT](/docs/fr-ca/secure/tokens/json-web-tokens/json-web-token-structure) typique et qu’ils contiennent des [demandes JWT](/docs/fr-ca/secure/tokens/json-web-tokens/json-web-token-claims) concernant le jeton lui-même.

### Jetons d’accès à Management API

Un jeton d’accès émis pour Management API Auth0 devrait être traité comme opaque (peu importe s’il l’est réellement) : vous n’avez donc pas besoin de le valider. Vous pouvez l’utiliser avec Management API Auth0 et Auth0 s’occupe du reste. Pour en savoir plus, consutez [Jetons de Management API Auth0](/docs/fr-ca/secure/tokens/access-tokens/management-api-access-tokens).

### Jetons d’accès d’API personnalisée

Si la validation de votre jeton d’accès personnalisé à l’API échoue, assurez-vous qu’il a été émis avec votre API personnalisée comme `audience`. Pour en savoir plus, consultez [Obtenir des jetons d’accès](/docs/fr-ca/secure/tokens/access-tokens/get-access-tokens).

## Échantillon de jeton d’accès

Cet exemple montre le contenu d’un jeton d’accès. Notez que le jeton ne contient que des informations d’autorisation sur les Actions que l’application est autorisée à effectuer au niveau de l’API (ces autorisations sont appelées `scopes`).

```json lines theme={null}
{
  "iss": "https://my-domain.auth0.com/",
  "sub": "auth0|123456",
  "aud": [
    "https://example.com/health-api",
    "https://my-domain.auth0.com/userinfo"
  ],
  "azp": "my_client_id",
  "exp": 1311281970,
  "iat": 1311280970,
  "scope": "openid profile read:patients read:admin"
}
```

Le jeton ne contient aucune information sur l’utilisateur, à l’exception de l’identifiant de l’utilisateur (situé dans la demande`sub`). Dans de nombreux cas, il peut être utile de récupérer des informations de l’utilisateur supplémentaires. Vous pouvez le faire en appelant le [point de terminaison userinfo de l’API](https://auth0.com/docs/api/authentication#get-user-info) avec le jeton d’accès. Assurez-vous que l’API pour laquelle le jeton d’accès est émis utilise l’**algorithme de signature**[RS256](/docs/fr-ca/get-started/applications/signing-algorithms).

## Sécurité des jetons d’accès

Vous devez suivre les [meilleures pratiques en matière de jetons](/docs/fr-ca/secure/tokens/token-best-practices) lorsque vous utilisez des jetons d’accès, et pour les JWT, assurez-vous que vous [validez un jeton d’accès](/docs/fr-ca/secure/tokens/access-tokens/validate-access-tokens) avant de supposer que son contenu est digne de confiance.

## Durée de vie du jeton d’accès

### Durée de vie des jetons pour l’API personnalisée

Par défaut, un jeton d’accès pour une API personnalisée est valide pendant 86400 secondes (24 heures). Nous vous conseillons de définir la période de validité de votre jeton en fonction des exigences de sécurité de votre API. Par exemple, un jeton d’accès qui accède à une API bancaire devrait expirer plus rapidement qu’un jeton qui accède à une API de liste de tâches. Pour en savoir plus, consultez [Mettre à jour la durée de vie du jeton d’accès](/docs/fr-ca/secure/tokens/access-tokens/update-access-token-lifetime).

### Durée de vie du jeton pour le point de terminaison /userinfo

Les jetons d’accès émis dans le seul but d’accéder au point de terminaison OIDC `/userinfo` ont une durée de vie par défaut et ne peuvent pas être modifiés. La durée de vie dépend du flux utilisé pour obtenir le jeton :

| Flux                        | Durée de vie               |
| --------------------------- | -------------------------- |
| Implicite                   | 7200 secondes (2 heures)   |
| Code d’autorisation/Hybride | 86400 secondes (24 heures) |

## En savoir plus

* [Obtenir des jetons d’accès](/docs/fr-ca/secure/tokens/access-tokens/get-access-tokens)
* [Valider les jetons d’accès](/docs/fr-ca/secure/tokens/access-tokens/validate-access-tokens)
* [Utiliser des jetons d'accès](/docs/fr-ca/secure/tokens/access-tokens/use-access-tokens)
* [Meilleures pratiques concernant les jetons](/docs/fr-ca/secure/tokens/token-best-practices)