Please enable JavaScript.
Coggle requires JavaScript to display documents.
OAuth2 (Notions de base (Rôles (Ressource Owner (détenteur des données),…
OAuth2
Notions de base
Rôles
Ressource Owner (détenteur des données)
Ressource Server (Serveur de ressources)
Client Application (Le Client)
Authorization Server : (Serveur d'autorisation)
Tokens
généré par Authorization Server
Access Token
Refresh Token
Paramètre scope
limite les droits du token d'accès
HTTPS
OAuth2 impose HTTPS pour les échanges
Les types d'autorisation
L'autorisation via un code (Code Grant)
Quand ?
Doit être utilisé dès que possible,
principalement quand Client = serveur web
Link
Autorisation Implicite (Implicit Grant)
Quand ?
l'application se trouve côté client (app Javascript)
c'est le moins sécurisé car le token peut être intercepté
Link
Autorisation via mot de passe (Ressource Owner Password Credentials Grant)
Quand ?
Principalement quand Client et Serveur Application = même autorité
Link
Autorisation Serveur à Serveur (Client Credentials Grant)
Link
Quand ?
Quand Ressource Owner est un site Internet
Sécurité
Faille dans l'autorisation par code
il faut utiliser le paramètre "State"
Faille dans l'autorisation implicite
Clickjacking
S'enregistrer en tant que Client
Enregistrement en tant que Client
Application Name
Redirect URLs
Grant Type(s)
Javascript Origin (optionnel)
Réponse du serveur d'autorisation
Client Id
Client Secret
Utilisation du token d'accès
Paramètre de la requête (GET ou POST)
GET
Dans l'url (pas idéal)
https://api.example.com/profile?access_token=MzJmNDc3M2VjMmQzN
Header Authorization
GET /profile HTTP/1.1
Host: api.example.com
Authorization: Bearer MzJmNDc3M2VjMmQzN
Pas autorisé par tous les serveurs de ressources
Header Authorization