Authentification et démarrage du jeton
La fonctionnalité d’authentification et d’amorçage de jeton définit la manière dont Inbox Manager accepte la confiance de auth.inbox-manager.com et l’applique à chaque requête API.
Il vous donne une autorisation basée sur le compte afin que chaque appel soit exécuté pour le compte et le rôle appropriés.
Pourquoi c’est important
Cette fonctionnalité vérifie l’identité et la portée du jeton avant l’exécution des gestionnaires métier, gardant ainsi l’autorisation stricte et prévisible. Il préserve également une frontière claire entre l’émission de jetons de domaine d’authentification et les points de terminaison d’Inbox Manager tout en gardant les contrôles de compte et de rôle cohérents sur les routes protégées.
Flux de base
Le client se connecte sur auth.inbox-manager.com, obtient un jeton et dérive un jeton de compte si nécessaire. Inbox Manager vérifie l’émetteur, l’audience, la signature et les revendications requises, puis exécute les demandes pour le compte et le rôle du jeton ; les jetons invalides ou incomplets sont rejetés avant l’exécution de la logique des fonctionnalités.
Opérations
| Opération | Point de terminaison | Objectif |
|---|---|---|
| Connexion (externe) | POST https://auth.inbox-manager.com/auth/sign-in | Authentifier l’utilisateur et démarrer le cycle de vie du jeton |
| Problème de jeton OAuth (externe) | POST https://auth.inbox-manager.com/oauth2/token | Émettre des jetons pour les clients publics ou backend |
| Dérivation du jeton de compte (externe) | POST https://auth.inbox-manager.com/api/accounts/:account_id/token | Jeton limité au compte Mint pour les appels d’API |
| Découverte JWKS (externe) | GET https://auth.inbox-manager.com/.well-known/jwks.json | Récupérer les clés de signature pour la vérification JWT |
| Découverte OIDC (externe) | GET https://auth.inbox-manager.com/.well-known/openid-configuration | Récupérer les métadonnées OAuth/OIDC pour les clients |
| Pass-through du propriétaire de l’abonnement | GET /api/subscriptions et /api/subscriptions* | Exécuter l’abonnement du propriétaire et planifier des actions via des routes proxy autorisées |
Données clés et état
| Réclamation | Rôle dans le gestionnaire de boîte de réception |
|---|---|
uid | Identifie l’utilisateur agissant |
app | Identifie l’ID de l’application dans le jeton |
acc | Sélectionne le compte pour les opérations autorisées |
role | Limite les capacités au niveau du compte |
aud | Doit correspondre à l’audience attendue d’Inbox Manager |
iss | Doit correspondre à l’émetteur de jeton configuré |
Modes de défaillance et contrôlesLes signatures invalides, les inadéquations émetteur/public et les revendications requises manquantes entraînent un rejet immédiat au lieu d’un comportement de repli implicite. Les incompatibilités de jeton/compte sur les routes au niveau du compte sont bloquées pour empêcher l’accès entre comptes, et les échecs de dépendance entre les domaines d’authentification ne contournent pas les exigences de vérification.
Connexes
[Compte] (/fr/types/account), [Adhésion] (/fr/types/membership), [01-auth-and-token-bootstrap] (/fr/guides/01-auth-and-token-bootstrap), [10-auth-backend-admin-flow] (/fr/guides/10-auth-backend-admin-flow).