> ## Documentation Index
> Fetch the complete documentation index at: https://auth0-docs-event-stream-action-templates.mintlify.site/llms.txt
> Use this file to discover all available pages before exploring further.

# API

> Explorez les sujets clés liés à l’utilisation des API.

Une API est une entité qui représente une ressource externe, capable d’accepter des demandes de ressources protégées faites par des applications et d’y répondre. Dans la spécification [OAuth2](https://tools.ietf.org/html/rfc6749), une API correspond au **Serveur de ressources**.

À un moment donné, vos API personnalisées devront autoriser un accès limité à leurs ressources protégées au nom des utilisateurs. L’autorisation fait référence au processus de vérification de l’accès d’un utilisateur. Bien qu’elle soit souvent utilisée de manière interchangeable avec l’[authentification](/docs/fr-ca/authenticate), l’autorisation représente une fonction fondamentalement différente. Pour en savoir plus, lisez [Authentification et autorisation](/docs/fr-ca/get-started/identity-fundamentals/authentication-and-authorization).

Dans le cadre de l’autorisation, un utilisateur ou une application se voit accorder l’accès à une API après que celle-ci a déterminé l’étendue des permissions qu’elle doit attribuer. En général, l’autorisation intervient après que l’identité a été validée avec succès par l’authentification, de sorte que l’API a une idée du type d’accès qu’elle doit accorder.

L’autorisation peut être déterminée à l’aide de [politiques](/docs/fr-ca/manage-users/access-control/authorization-policies) et de [règles](/docs/fr-ca/manage-users/access-control/rules-for-authorization-policies), qui peuvent être utilisées avec le [contrôle d’accès basé sur les rôles (RBAC)](/docs/fr-ca/manage-users/access-control/rbac). Que le RBAC soit utilisé ou non, l’accès demandé est transmis à l’API via les permissions et l’accès accordé est renvoyé sous la forme de jetons d’accès émis.

L’application peut alors utiliser le jeton d’accès pour accéder aux ressources protégées de l’API. Le même jeton d’accès peut être utilisé pour accéder aux ressources de l’API sans avoir à s’authentifier à nouveau jusqu’à ce qu’il expire.

## Permissions de l’API

Étant donné que seule l’API peut connaître toutes les actions possibles qu’elle peut gérer, elle doit disposer de son propre système de contrôle d’accès interne dans lequel elle définit ses propres autorisations. Pour déterminer les autorisations effectives d’une application appelante, une API doit combiner les permissions entrantes avec les autorisations attribuées dans son propre système de contrôle d’accès interne et prendre des décisions de contrôle d’accès en conséquence.

## Configurer une API

Pour protéger une API, vous devez enregistrer une API en utilisant l’<Tooltip href="/docs/fr-ca/glossary?term=auth0-dashboard" tip="Auth0 Dashboard
Principal produit d’Auth0 pour configurer vos services." cta="Voir le glossaire">Auth0 Dashboard</Tooltip>. Pour en savoir plus, voir [Enregistrer des API](/docs/fr-ca/get-started/auth0-overview/set-up-apis).

<Callout icon="file-lines" color="#0EA5E9" iconType="regular">
  Avant d’enregistrer des API dans le Dashboard Auth0, sachez qu’une API existe déjà : **Management API Auth0**. Pour en savoir plus sur les fonctionnalités de Management API et ses points de terminaison disponibles, consultez [Management API](/docs/fr-ca/api/management/v2).
</Callout>

## En savoir plus

* [Permissions des API](/docs/fr-ca/get-started/apis/scopes/api-scopes)
* [Quel flux OAuth 2.0 dois-je utiliser?](/docs/fr-ca/get-started/authentication-and-authorization-flow/which-oauth-2-0-flow-should-i-use)
* [Jetons](/docs/fr-ca/secure/tokens)
* [Enregistrer les API](/docs/fr-ca/get-started/auth0-overview/set-up-apis)
* [Paramètres API](/docs/fr-ca/get-started/apis/api-settings)