Auth0 SPA 应用启用 MFA 的 Terraform 配置指南
在 terraform 中为 auth0 单页应用(spa)启用 mfa 时,需使用 auth0 官方定义的标准化 grant type uri(`http://auth0.com/oauth/grant-type/mfa-otp`),而非简写的 `"mfa"`,否则将触发 400 错误。
Auth0 对多因素认证(MFA)授权类型的命名遵循 OAuth 扩展规范,不支持任意字符串如 "mfa" 作为 grant_types 值。Terraform 的 auth0_client 资源在调用 Auth0 Management API 创建应用时,会严格校验 grant type 格式。若传入非法值(如 "mfa"),API 将直接返回 400 Bad Request: Invalid grant types: mfa —— 这正是你遇到的错误。
✅ 正确做法是使用 Auth0 官方注册的、带命名空间的 URI:
resource "auth0_client" "auth0_ui_client" {
name = "auth0_ui_client"
app_type = "spa"
callbacks = ["http://localhost:3000/callback"]
allowed_logout_urls = ["http://localhost:3000/logout"]
allowed_origins = ["http://localhost:3000"]
grant_types = [
"authorization_code",
"implicit",
"
refresh_token",
"http://auth0.com/oauth/grant-type/mfa-otp" # ✅ 唯一合法的 MFA grant type
]
}
refresh_token",
"http://auth0.com/oauth/grant-type/mfa-otp" # ✅ 唯一合法的 MFA grant type
]
}⚠️ 注意事项:
- http://auth0.com/oauth/grant-type/mfa-otp 是专用于基于一次性密码(OTP)的 MFA 流程(如 TOTP、SMS、Email)的标准 grant type;若使用 WebAuthn 或 Push 等其他 MFA 方式,仍需此值(Auth0 统一抽象为同一 grant type)。
- 仅声明该 grant type 不会自动启用 MFA 策cies —— 你还需通过 auth0_mfa 资源或 Auth0 Dashboard 配置 MFA 策略(如强制启用、信任设备等)。
- SPA 类型应用默认禁用 password 和 client_credentials 等敏感 grant type,但 mfa-otp 是显式允许的扩展类型,无需额外开启权限。
- 确保你使用的 auth0 Terraform provider 版本 ≥ 0.38.0(推荐 ≥ 0.45.0),以兼容最新 API 行为。
? 补充说明:该 URI 在 Auth0 官方文档 中明确列为“MFA Grant Type”,是唯一被 Management API 接受的有效值。手动在控制台勾选“Enable MFA”实际等价于在后台自动注入该 URI 到 grant_types 列表中 —— Terraform 必须显式声明这一标准值,无法依赖 UI 的隐式映射。
完成配置后,运行 terraform apply 即可成功创建支持 MFA 的 SPA 应用,后续可结合 auth0_rule 或 Auth0 Actions 实现 MFA 触发逻辑(例如:对特定用户组或高风险登录强制 MFA)。
