« Oauth2 lecture » : différence entre les versions

(16 versions intermédiaires par le même utilisateur non affichées)

Ligne 1 :

~~(à réorganiser)~~

Résumé de lecture de :

https://oa.dnc.global/-fr-.html et de https://blog.octo.com/securiser-une-api-rest-tout-ce-quil-faut-savoir

=== Serveur ===

Ligne 14 :

Ligne 15 :

-L’Utilisateur utilise vos services, et a peut-être déjà suffisamment de droits pour consommer certaines ressources privées. Et il voudrait y accéder via l’application du développeur décrit précédemment.

-L’Identity Provider sait qui est qui, et sait comment savoir qui est qui. Vous avez suivi ? Il s’agit peut-être aussi de vous, cher lecteur. Beaucoup de resource providers sont aussi des identity providers (pensez à Google, à Facebook…). Si vous stockez votre base d’utilisateurs dans un LDAP d’entreprise, vous n’êtes pas loin d’avoir à votre disposition un identity provider.

~~</pre>~~

~~<pre>~~

Le serveur d'autorisation gère l'autorisation et la gestion des jetons.

Ligne 23 :

Ligne 22 :

vous pouvez avoir votre serveur d'autorisation et votre serveur de ressources dans la même application. Quelle que soit la façon dont vous décidez de le faire, cela dépend de votre style. Cela n'affecte pas la fonctionnalité de vos serveurs.

</pre>

https://blog.octo.com/securiser-une-api-rest-tout-ce-quil-faut-savoir

=== ~~la brique "d'authentification" a 3 rôles~~ ===

=== OAuth2 et OpenID Connect ===

<pre>

~~fournisseur d'identité~~ : ~~qui~~ est l'utilisateur ~~? ses informations ? Nom~~, ~~prénom~~, ~~username~~, ~~etc...~~..

Les standards de l’industrie pour l’authentification et l’autorisation sont OAuth2 et OpenID Connect : OAuth2 est dédié à la délégation de droits (“moi, utilisateur, autorise cette application à lire mes mails en mon nom”) et OIDC, à la gestion d’identités.

~~Authentification: Demander~~ à ~~l'utilisateur de s'authentifier par~~ un ~~moyen X~~ (~~login/mot de passe dans une base de données~~, ~~un LDAP/AD~~, ~~mais aussi via son token Kerberos~~, etc....)

~~Autoriser: OK l'utilisateur existe, il s'~~est ~~authentifié, mais~~ a~~-t-il~~ le ~~droit d'accéder~~ à ~~l'application ?~~

Ces deux protocoles couvrent à eux deux 99,9% des cas possibles. Nous vous DÉCONSEILLONS FORTEMENT d’essayer d’utiliser d’autres protocoles ou d’essayer de réinventer la roue, ce serait un frein inutile ajouté à vos clients que sont les développeurs d’applications.

Vous pouvez vous contenter d’utiliser OAuth2 si vous êtes à la fois resource provider et identity provider (et rappelez-vous que vous l’êtes sûrement). OpenID Connect est une extension du protocole OAuth2 et vous permettra donc une migration sans douleur si vous décidez d’utiliser un identity provider externe (connexion avec Facebook, Linkedin, Google, etc).

</pre>

https://blog.octo.com/securiser-une-api-rest-tout-ce-quil-faut-savoir

=== Authentifier l’application ===

<pre>

Le serveur de ressource (Resource Server) doit pouvoir vérifier la légitimité du détenteur du token.

Mais comment ?

La spécification décrit clairement cette limitation (§10.3) :

Cette spécification ne fournit aucune méthode pour que le serveur de ressources s’assure qu’un jeton d’accès qui lui est présenté par un client donné a été émis pour ce client par le serveur d’autorisation.

"vous pouvez utiliser les jetons d’accès JWT si vous avez des systèmes distribués et que vous devez valider l’authenticité d’un jeton auprès de plusieurs parties sans avoir à passer un appel réseau.

Par exemple, un jeton est attribué par le serveur d’autorisations. Ce jeton est un jeton Web JSON signé par la clé privée du serveur d’autorisations. Les serveurs de ressources (vers lesquels les appels d’API sont effectués) sont répartis dans le monde entier et exécutent plusieurs applications. Tant que les serveurs de ressources disposent de la clé publique du serveur d’autorisations, qui n’a pas besoin d’être sécurisée, ils peuvent valider les jetons rapidement sans aucun appel réseau. Les jetons n’ont même pas besoin d’être persistés."

</pre>

[https://oa.dnc.global/-Authentifier-l-application-.html#verificationdeloriginedelarequeterecueparunserveurderessource Vérification de l’origine de la requête reçue par un serveur de ressource]

=== OAuth 2.0 est un système d’autorisation ===

Ligne 64 :

Ligne 82 :

- Le jeton d’accès (Access Token) : Permet au serveur d’une ressource protégée d’autoriser une application cliente à y accéder. Ce jeton est envoyé par l’application cliente en tant que paramètre ou en tant que header dans la requête vers le serveur de ressources. Il a une durée de vie limitée qui est définie par le serveur d’autorisation.

- Le jeton de renouvellement (Refresh Token ) : Utilisé pour demander de prolonger l’accès à une ressource ; envoyé sur demande d’une application qui détient déjà un jeton d’accès valide.

- Le jeton de renouvellement (Refresh Token) : Utilisé pour demander de prolonger l’accès à une ressource ; envoyé sur demande d’une application qui détient déjà un jeton d’accès valide.

</pre>

=== Validation access_token ===

<pre>

VALIDATION access_token par RS quand demande du CLIENT

=> ipmplique une interraction entre RS et AS

sur AS une extremite=>"tokeninfo"

Le serveur de ressource (RS) n’est pas directement lié au serveur d’autorisation (AS).

Dans ce cas, il existe deux familles de méthodes :

- la première consiste à authentifier le jeton d’accès par interrogation du serveur d’autorisation (introspection).

- la deuxième consiste à ce que l’application tierce assure localement l’authentification du jeton d’accès.

la validation à l’aide de cryptage asymétrique (signature).

</pre>

=== code d'autorisation ===

<pre>

Le code d'autorisation est obtenu en utilisant un serveur d'autorisation

en tant qu'intermédiaire entre le client et le propriétaire de la ressource. Au lieu de

demander l'autorisation directement au propriétaire de la ressource, le client

dirige le propriétaire de la ressource vers un serveur d'autorisation (via son

user-agent tel que défini dans [RFC2616]), qui à son tour dirige le

propriétaire de la ressource au client avec le code d'autorisation.

Avant de rediriger le propriétaire de la ressource vers le client avec le

code d'autorisation, le serveur d'autorisation authentifie le

propriétaire de la ressource et obtient l'autorisation. Parce que le propriétaire de la ressource

s'authentifie uniquement auprès du serveur d'autorisation, la ressource

les informations d'identification du propriétaire ne sont jamais partagées avec le client.

Le code d'autorisation offre quelques avantages de sécurité importants,

telles que la possibilité d'authentifier le client, ainsi que la

transmission du jeton d'accès directement au client sans

en le faisant passer par l'agent utilisateur du propriétaire de la ressource et éventuellement

l'exposer à d'autres, y compris le propriétaire de la ressource.

Le serveur de ressources est le terme OAuth 2.0 pour votre serveur d'API. Le serveur de ressources gère les demandes authentifiées une fois que l'application a obtenu un jeton d'accès.

Les déploiements à grande échelle peuvent avoir plusieurs serveurs de ressources. Les services de Google, par exemple, disposent de dizaines de serveurs de ressources, tels que la plateforme Google Cloud, Google Maps, Google Drive, Youtube, Google+ et bien d'autres. Chacun de ces serveurs de ressources est distinct, mais ils partagent tous le même serveur d'autorisation.

</pre>

Ligne 70 :

Ligne 129 :

[https://developers.google.com/identity/protocols/oauth2/openid-connect?csw=1#validatinganidtoken google exemple]

<pre>

jeton d’identité (ID Token) fondé sur JWT.

La validation d'un jeton d'identification nécessite plusieurs étapes :

Ligne 83 :

Ligne 143 :

</pre>

[https://jwt.io/ (voir jwt.io)]

~~=== Validation access_token ===~~

~~<pre>~~

~~VALIDATION access_token par RS quand demande du CLIENT~~

~~=> ipmplique une interraction entre RS et AS~~

~~sur AS une extremite=>"tokeninfo"~~

~~Le serveur de ressource (RS) n’est pas directement lié au serveur d’autorisation (AS).~~

~~Dans ce cas, il existe deux familles de méthodes :~~

~~- la première consiste à authentifier le jeton d’accès par interrogation du serveur d’autorisation (introspection).~~

~~- la deuxième consiste à ce que l’application tierce assure localement l’authentification du jeton d’accès.~~

~~la validation à l’aide de cryptage asymétrique (signature).~~

~~jeton d’identité (ID Token) fondé sur JWT~~

~~</pre>~~

=== ID Token ===

Ligne 207 :

Ligne 251 :

extremite=>"introspect"

https://oa.dnc.global/-API-OpenID-Connect-Points-d-extremite-.html#apiopenidconnectintrospectionintrospectionendpoint

=== Forme de la demande d’Introspection ===

'''Contrôle de l’accès'''

<pre>

Les demandes adressées au point de terminaison d’introspection doivent être authentifiées avec les informations d’identification du client (Client Credentials Grant) ou autorisées avec un jeton d’accès au porteur (Bearer Token).

En conséquence, l’application appelante (ou le serveur de ressource) doit être enregistrée comme cliente sur le serveur d’authentification

</pre>

'''Client Credentials Grant'''

<pre>

C’est l’approche la plus simple et celle qui est recommandée.

L’application appelante (ou le serveur de ressource) doit être enregistrée comme cliente sur le serveur d’authentification [1].

L’authentification est effectuée en utilisant l’authentification HTTP Basic (cf. section 2.3.1 de OAuth 2.0 [RFC6749]). Les identifiants client_id et client_secret sont ceux qui ont été définis lors de l’inscription de l’application cliente sur le serveur.

</pre>

'''Bearer Token'''

<pre>

Cette approche nécessite un jeton d’accès pour autoriser la demande d’introspection.

Pour un serveur de ressource, cela est plus compliqué du fait de la durée limitée de validité du jeton d’accès, contraignant à une nouvelle demande de jeton. Une façon d’obtenir un tel jeton consiste à inscrire l’application pour le flux Client Credential Grant.

L’authentification est effectuée en passant le jeton dans l’en-tête Authorization de la demande d’introspection.

</pre>

=== Contrôle de l’accès ===

Ligne 271 :

Ligne 334 :

[https://oa.dnc.global/-OpenID-Connect-6-.html#validationdujetondidentiteidtokenjwtsigneoujws Validation du jeton d’identité ID Token (JWT signé ou JWS)]

=== ~~code d'autorisation~~ ===

=== Symfony ===

La brique "d'authentification" a 3 rôles

<pre>

~~Le code~~ d'~~autorisation~~ est ~~obtenu en utilisant un serveur d'autorisation~~

fournisseur d'identité : qui est l'utilisateur ? ses informations ? Nom, prénom, username, etc.....

~~en tant qu'intermédiaire entre le client et le propriétaire de la ressource. Au lieu de~~

Authentification: Demander à l'utilisateur de s'authentifier par un moyen X (login/mot de passe dans une base de données, un LDAP/AD, mais aussi via son token Kerberos, etc....)

~~demander~~ l'~~autorisation directement au propriétaire de la ressource~~, ~~le client~~

Autoriser: OK l'utilisateur existe, il s'est authentifié, mais a-t-il le droit d'accéder à l'application ?

~~dirige le propriétaire de la ressource vers un serveur d'autorisation (via son~~

~~user-agent tel que défini dans [RFC2616])~~, ~~qui à son tour dirige le~~

~~propriétaire de la ressource au client avec le code d'autorisation~~.

~~Avant de rediriger le propriétaire de la ressource vers le client avec le~~

~~code d'autorisation, le serveur d'autorisation authentifie le~~

~~propriétaire de la ressource et obtient~~ l'~~autorisation. Parce que le propriétaire~~ de ~~la ressource~~

s'~~authentifie uniquement auprès du serveur d'autorisation, la ressource~~

~~les informations d'identification du propriétaire ne sont jamais partagées avec le client.~~

~~Le code d'autorisation offre quelques avantages~~ de ~~sécurité importants~~,

~~telles que la possibilité d'authentifier le client~~, ~~ainsi que la~~

~~transmission du jeton d'accès directement au client sans~~

~~en le faisant passer par l'agent utilisateur du propriétaire de la ressource et éventuellement~~

~~l'exposer à d'autres~~, ~~y compris le propriétaire de la ressource~~.

~~Le serveur de ressources est le terme OAuth 2~~.~~0 pour votre serveur d'API~~. ~~Le serveur de ressources gère les demandes authentifiées une fois que~~ l'~~application a obtenu un jeton d'accès.~~

~~Les déploiements à grande échelle peuvent avoir plusieurs serveurs de ressources. Les services de Google~~, ~~par exemple, disposent de dizaines de serveurs de ressources, tels que la plateforme Google Cloud, Google Maps, Google Drive, Youtube, Google+ et bien d~~'~~autres. Chacun de ces serveurs de ressources~~ est ~~distinct~~, mais ~~ils partagent tous~~ le ~~même serveur~~ d'~~autorisation.~~

</pre>

https://dev.to/gbtux/authentification-openid-connect-avec-symfony-3m5h

~~=== 2022-04-25 ===~~

le provider fournit un JWT.

https://~~www.mechantblog~~.~~com/2018~~/12/~~token~~-~~api~~-~~macaroon~~-~~jwt/~~

~~<pre>~~

~~Vu que le secret peut être asymétrique, Il est possible de créer une clé privée/publique par utilisateur. On génère un token~~ avec ~~la clé privée, et on enregistre la clé publique dans la base de données. Cette clé n’est pas critique et peut être volée sans rien compromettre. Ce qui donnerait ceci:~~

~~Récupération du token dans le header (ou un cookie, une session, etc…)~~

~~Extraction du champs userId dans le payload~~

~~Récupération de la clé publique liée à cet utilisateur~~

~~Vérification du token avec la clé publique~~

~~Si c’est bon, le token est confirmé et on peut faire confiance aux infos du payload~~

RS256 utilise le cryptage à clé publique pour signer le jeton. La signature (hachage) sera créée à l'aide de la clé privée et pourra être vérifiée à l'aide de la clé publique. Ainsi, pas besoin de clé privée ou de secret client à stocker sur le serveur principal, mais le serveur principal récupère la clé publique à partir de l'URL de configuration openid de votre locataire (https://[tenant]/.well-~~known/openid~~ -~~configuration) pour vérifier le jeton. Le paramètre KID à l'intérieur de access_toekn sera utilisé pour détecter la bonne clé (publique) à partir de la configuration openid.~~

</~~pre~~>

~~=== 2022-04-26 ===~~

~~<pre>~~

~~Le serveur de ressource (Resource Server) doit pouvoir vérifier la légitimité du détenteur du token.~~

~~Mais comment ?~~

~~La spécification décrit clairement cette limitation (§10.3) :~~

~~Cette spécification ne~~ fournit ~~aucune méthode pour que le serveur de ressources s’assure qu’un jeton d’accès qui lui est présenté par~~ un ~~client donné a été émis pour ce client par le serveur d’autorisation.~~

~~"vous pouvez utiliser les jetons d’accès~~ JWT ~~si vous avez des systèmes distribués et que vous devez valider l’authenticité d’un jeton auprès de plusieurs parties sans avoir à passer un appel réseau.~~

Par exemple, un jeton est attribué par le serveur d’autorisations. Ce jeton est un jeton Web JSON signé par la clé privée du serveur d’autorisations. Les serveurs de ressources (vers lesquels les appels d’API sont effectués) sont répartis dans le monde entier et exécutent plusieurs applications. Tant que les serveurs de ressources disposent de la clé publique du serveur d’autorisations, qui n’a pas besoin d’être sécurisée, ils peuvent valider les jetons rapidement sans aucun appel réseau. Les jetons n’ont même pas besoin d’être persistés."

~~</pre>~~

~~=== 2022-04-28 ===~~

~~https://blog.octo.com/securiser-une-api-rest-tout-ce-quil-faut-savoir/#security_pillars~~

~~=== OAuth2 et OpenID Connect ===~~

~~<pre>~~

Les standards de l’industrie pour l’authentification et l’autorisation sont OAuth2 et OpenID Connect : OAuth2 est dédié à la délégation de droits (“moi, utilisateur, autorise cette application à lire mes mails en mon nom”) et OIDC, à la gestion d’identités.

Ces deux protocoles couvrent à eux deux 99,9% des cas possibles. Nous vous DÉCONSEILLONS FORTEMENT d’essayer d’utiliser d’autres protocoles ou d’essayer de réinventer la roue, ce serait un frein inutile ajouté à vos clients que sont les développeurs d’applications.

~~Vous pouvez vous contenter d’utiliser OAuth2 si vous êtes à la fois resource provider et identity provider (et rappelez-vous que vous l’êtes sûrement)~~. OpenID Connect est une extension du protocole OAuth2 et vous permettra donc une migration sans douleur si vous décidez d’utiliser un identity provider externe (connexion avec Facebook, Linkedin, Google, etc).

~~</pre>~~

~~=== Symfony ===~~

~~le provider c'est ce qui est retourné par L'AS, un JWT~~

<pre>

security.yaml

Ligne 360 :

Ligne 364 :

- { path: ^/api, roles: IS_AUTHENTICATED_FULLY }

</pre>

=== Ressources ===

[https://www.mechantblog.com/2018/12/token-api-macaroon-jwt/ Le TOKEN API: Simple, JWT et macaron]

[https://blog.octo.com/securiser-une-api-rest-tout-ce-quil-faut-savoir#security_pillars Sécuriser une API REST : tout ce qu’il faut savoir]

[https://www.vaadata.com/blog/fr/jetons-jwt-et-securite-principes-et-cas-dutilisation/ Jetons JWT et sécurité – Principes et cas d’utilisation]

[https://oa.dnc.global/-Decouvrir-.html#definitions Définitions]

[https://oa.dnc.global/-OAuth-2-0-.html#oauth20lestypesdautorisationgranttype OAuth 2.0 : Les Types d’Autorisation (Grant Type)]

[https://oauth2.thephpleague.com/authorization-server/which-grant/ PHP OAuth 2.0 authorization server]

[[Catégorie:Oauth2]]

@@ Ligne 1 : / Ligne 1 : @@
-(à réorganiser)
+Résumé de lecture de :<br />
+https://oa.dnc.global/-fr-.html et de https://blog.octo.com/securiser-une-api-rest-tout-ce-quil-faut-savoir
 === Serveur ===
@@ Ligne 14 : / Ligne 15 : @@
 -L’Utilisateur utilise vos services, et a peut-être déjà suffisamment de droits pour consommer certaines ressources privées. Et il voudrait y accéder via l’application du développeur décrit précédemment.
 -L’Identity Provider sait qui est qui, et sait comment savoir qui est qui. Vous avez suivi ? Il s’agit peut-être aussi de vous, cher lecteur. Beaucoup de resource providers sont aussi des identity providers (pensez à Google, à Facebook…). Si vous stockez votre base d’utilisateurs dans un LDAP d’entreprise, vous n’êtes pas loin d’avoir à votre disposition un identity provider.
-</pre>
-<pre>
 Le serveur d'autorisation gère l'autorisation et la gestion des jetons.
@@ Ligne 23 : / Ligne 22 : @@
 vous pouvez avoir votre serveur d'autorisation et votre serveur de ressources dans la même application. Quelle que soit la façon dont vous décidez de le faire, cela dépend de votre style. Cela n'affecte pas la fonctionnalité de vos serveurs.
 </pre>
+https://blog.octo.com/securiser-une-api-rest-tout-ce-quil-faut-savoir
-=== la brique "d'authentification" a 3 rôles  ===
+=== OAuth2 et OpenID Connect ===
 <pre>
-fournisseur d'identité : qui est l'utilisateur ? ses informations ? Nom, prénom, username, etc.....
+Les standards de l’industrie pour l’authentification et l’autorisation sont OAuth2 et OpenID Connect : OAuth2 est dédié à la délégation de droits (“moi, utilisateur, autorise cette application à lire mes mails en mon nom”) et OIDC, à la gestion d’identités.
-Authentification: Demander à l'utilisateur de s'authentifier par un moyen X (login/mot de passe dans une base de données, un LDAP/AD, mais aussi via son token Kerberos, etc....)
-Autoriser: OK l'utilisateur existe, il s'est authentifié, mais a-t-il le droit d'accéder à l'application ?
+Ces deux protocoles couvrent à eux deux 99,9% des cas possibles. Nous vous DÉCONSEILLONS FORTEMENT d’essayer d’utiliser d’autres protocoles ou d’essayer de réinventer la roue, ce serait un frein inutile ajouté à vos clients que sont les développeurs d’applications.
+Vous pouvez vous contenter d’utiliser OAuth2 si vous êtes à la fois resource provider et identity provider (et rappelez-vous que vous l’êtes sûrement). OpenID Connect est une extension du protocole OAuth2 et vous permettra donc une migration sans douleur si vous décidez d’utiliser un identity provider externe (connexion avec Facebook, Linkedin, Google, etc).
+</pre>
+https://blog.octo.com/securiser-une-api-rest-tout-ce-quil-faut-savoir
+=== Authentifier l’application ===
+<pre>
+Le serveur de ressource (Resource Server) doit pouvoir vérifier la légitimité du détenteur du token.
+Mais comment ?
+La spécification décrit clairement cette limitation (§10.3) :
+Cette spécification ne fournit aucune méthode pour que le serveur de ressources s’assure qu’un jeton d’accès qui lui est présenté par un client donné a été émis pour ce client par le serveur d’autorisation.
+"vous pouvez utiliser les jetons d’accès JWT si vous avez des systèmes distribués et que vous devez valider l’authenticité d’un jeton auprès de plusieurs parties sans avoir à passer un appel réseau.
+Par exemple, un jeton est attribué par le serveur d’autorisations. Ce jeton est un jeton Web JSON signé par la clé privée du serveur d’autorisations. Les serveurs de ressources (vers lesquels les appels d’API sont effectués) sont répartis dans le monde entier et exécutent plusieurs applications. Tant que les serveurs de ressources disposent de la clé publique du serveur d’autorisations, qui n’a pas besoin d’être sécurisée, ils peuvent valider les jetons rapidement sans aucun appel réseau. Les jetons n’ont même pas besoin d’être persistés."
 </pre>
+[https://oa.dnc.global/-Authentifier-l-application-.html#verificationdeloriginedelarequeterecueparunserveurderessource Vérification de l’origine de la requête reçue par un serveur de ressource]
 === OAuth 2.0 est un système d’autorisation ===
@@ Ligne 64 : / Ligne 82 : @@
 - Le jeton d’accès (Access Token) : Permet au serveur d’une ressource protégée d’autoriser une application cliente à y accéder. Ce jeton est envoyé par l’application cliente en tant que paramètre ou en tant que header dans la requête vers le serveur de ressources. Il a une durée de vie limitée qui est définie par le serveur d’autorisation.
-- Le jeton de renouvellement (Refresh Token ) : Utilisé pour demander de prolonger l’accès à une ressource ; envoyé sur demande d’une application qui détient déjà un jeton d’accès valide.
+- Le jeton de renouvellement (Refresh Token) : Utilisé pour demander de prolonger l’accès à une ressource ; envoyé sur demande d’une application qui détient déjà un jeton d’accès valide.
+</pre>
+=== Validation access_token ===
+<pre>
+VALIDATION access_token par RS quand demande du CLIENT
+=> ipmplique une interraction entre RS et AS
+sur AS une extremite=>"tokeninfo"
+Le serveur de ressource (RS) n’est pas directement lié au serveur d’autorisation (AS).
+Dans ce cas, il existe deux familles de méthodes :
+- la première consiste à authentifier le jeton d’accès par interrogation du serveur d’autorisation (introspection).
+- la deuxième consiste à ce que l’application tierce assure localement l’authentification du jeton d’accès.
+la validation à l’aide de cryptage asymétrique (signature).
+</pre>
+=== code d'autorisation ===
+<pre>
+Le code d'autorisation est obtenu en utilisant un serveur d'autorisation
+en tant qu'intermédiaire entre le client et le propriétaire de la ressource. Au lieu de
+demander l'autorisation directement au propriétaire de la ressource, le client
+dirige le propriétaire de la ressource vers un serveur d'autorisation (via son
+user-agent tel que défini dans [RFC2616]), qui à son tour dirige le
+propriétaire de la ressource au client avec le code d'autorisation.
+Avant de rediriger le propriétaire de la ressource vers le client avec le
+code d'autorisation, le serveur d'autorisation authentifie le
+propriétaire de la ressource et obtient l'autorisation. Parce que le propriétaire de la ressource
+s'authentifie uniquement auprès du serveur d'autorisation, la ressource
+les informations d'identification du propriétaire ne sont jamais partagées avec le client.
+Le code d'autorisation offre quelques avantages de sécurité importants,
+telles que la possibilité d'authentifier le client, ainsi que la
+transmission du jeton d'accès directement au client sans
+en le faisant passer par l'agent utilisateur du propriétaire de la ressource et éventuellement
+l'exposer à d'autres, y compris le propriétaire de la ressource.
+Le serveur de ressources est le terme OAuth 2.0 pour votre serveur d'API. Le serveur de ressources gère les demandes authentifiées une fois que l'application a obtenu un jeton d'accès.
+Les déploiements à grande échelle peuvent avoir plusieurs serveurs de ressources. Les services de Google, par exemple, disposent de dizaines de serveurs de ressources, tels que la plateforme Google Cloud, Google Maps, Google Drive, Youtube, Google+ et bien d'autres. Chacun de ces serveurs de ressources est distinct, mais ils partagent tous le même serveur d'autorisation.
 </pre>
@@ Ligne 70 : / Ligne 129 : @@
 [https://developers.google.com/identity/protocols/oauth2/openid-connect?csw=1#validatinganidtoken google exemple]
 <pre>
+jeton d’identité (ID Token) fondé sur JWT.
 La validation d'un jeton d'identification nécessite plusieurs étapes :
@@ Ligne 83 : / Ligne 143 : @@
 </pre>
 [https://jwt.io/ (voir jwt.io)]
-=== Validation access_token ===
-<pre>
-VALIDATION access_token par RS quand demande du CLIENT
-=> ipmplique une interraction entre RS et AS
-sur AS une extremite=>"tokeninfo"
-Le serveur de ressource (RS) n’est pas directement lié au serveur d’autorisation (AS).
-Dans ce cas, il existe deux familles de méthodes :
-- la première consiste à authentifier le jeton d’accès par interrogation du serveur d’autorisation (introspection).
-- la deuxième consiste à ce que l’application tierce assure localement l’authentification du jeton d’accès.
-la validation à l’aide de cryptage asymétrique (signature).
-jeton d’identité (ID Token) fondé sur JWT
-</pre>
 === ID Token ===
@@ Ligne 207 : / Ligne 251 : @@
 extremite=>"introspect"<br />
 https://oa.dnc.global/-API-OpenID-Connect-Points-d-extremite-.html#apiopenidconnectintrospectionintrospectionendpoint
+=== Forme de la demande d’Introspection ===
+'''Contrôle de l’accès'''
+<pre>
+Les demandes adressées au point de terminaison d’introspection doivent être authentifiées avec les informations d’identification du client (Client Credentials Grant) ou autorisées avec un jeton d’accès au porteur (Bearer Token).
+En conséquence, l’application appelante (ou le serveur de ressource) doit être enregistrée comme cliente sur le serveur d’authentification
+</pre>
+'''Client Credentials Grant'''
+<pre>
+C’est l’approche la plus simple et celle qui est recommandée.
+L’application appelante (ou le serveur de ressource) doit être enregistrée comme cliente sur le serveur d’authentification [1].
+L’authentification est effectuée en utilisant l’authentification HTTP Basic (cf. section 2.3.1 de OAuth 2.0 [RFC6749]). Les identifiants client_id et client_secret sont ceux qui ont été définis lors de l’inscription de l’application cliente sur le serveur.
+</pre>
+'''Bearer Token'''
+<pre>
+Cette approche nécessite un jeton d’accès pour autoriser la demande d’introspection.
+Pour un serveur de ressource, cela est plus compliqué du fait de la durée limitée de validité du jeton d’accès, contraignant à une nouvelle demande de jeton. Une façon d’obtenir un tel jeton consiste à inscrire l’application pour le flux Client Credential Grant.
+L’authentification est effectuée en passant le jeton dans l’en-tête Authorization de la demande d’introspection.
+</pre>
 === Contrôle de l’accès ===
@@ Ligne 271 : / Ligne 334 : @@
 [https://oa.dnc.global/-OpenID-Connect-6-.html#validationdujetondidentiteidtokenjwtsigneoujws Validation du jeton d’identité ID Token (JWT signé ou JWS)]
-=== code d'autorisation ===
+=== Symfony ===
+La brique "d'authentification" a 3 rôles
 <pre>
-Le code d'autorisation est obtenu en utilisant un serveur d'autorisation
+fournisseur d'identité : qui est l'utilisateur ? ses informations ? Nom, prénom, username, etc.....
-en tant qu'intermédiaire entre le client et le propriétaire de la ressource. Au lieu de
+Authentification: Demander à l'utilisateur de s'authentifier par un moyen X (login/mot de passe dans une base de données, un LDAP/AD, mais aussi via son token Kerberos, etc....)
-demander l'autorisation directement au propriétaire de la ressource, le client
+Autoriser: OK l'utilisateur existe, il s'est authentifié, mais a-t-il le droit d'accéder à l'application ?
-dirige le propriétaire de la ressource vers un serveur d'autorisation (via son
-user-agent tel que défini dans [RFC2616]), qui à son tour dirige le
-propriétaire de la ressource au client avec le code d'autorisation.
-Avant de rediriger le propriétaire de la ressource vers le client avec le
-code d'autorisation, le serveur d'autorisation authentifie le
-propriétaire de la ressource et obtient l'autorisation. Parce que le propriétaire de la ressource
-s'authentifie uniquement auprès du serveur d'autorisation, la ressource
-les informations d'identification du propriétaire ne sont jamais partagées avec le client.
-Le code d'autorisation offre quelques avantages de sécurité importants,
-telles que la possibilité d'authentifier le client, ainsi que la
-transmission du jeton d'accès directement au client sans
-en le faisant passer par l'agent utilisateur du propriétaire de la ressource et éventuellement
-l'exposer à d'autres, y compris le propriétaire de la ressource.
-Le serveur de ressources est le terme OAuth 2.0 pour votre serveur d'API. Le serveur de ressources gère les demandes authentifiées une fois que l'application a obtenu un jeton d'accès.
-Les déploiements à grande échelle peuvent avoir plusieurs serveurs de ressources. Les services de Google, par exemple, disposent de dizaines de serveurs de ressources, tels que la plateforme Google Cloud, Google Maps, Google Drive, Youtube, Google+ et bien d'autres. Chacun de ces serveurs de ressources est distinct, mais ils partagent tous le même serveur d'autorisation.
 </pre>
+https://dev.to/gbtux/authentification-openid-connect-avec-symfony-3m5h<br />
-=== 2022-04-25 ===
+le provider fournit un JWT.
-https://www.mechantblog.com/2018/12/token-api-macaroon-jwt/
-<pre>
-Vu que le secret peut être asymétrique, Il est possible de créer une clé privée/publique par utilisateur. On génère un token avec la clé privée, et on enregistre la clé publique dans la base de données. Cette clé n’est pas critique et peut être volée sans rien compromettre. Ce qui donnerait ceci:
-Récupération du token dans le header (ou un cookie, une session, etc…)
-Extraction du champs userId dans le payload
-Récupération de la clé publique liée à cet utilisateur
-Vérification du token avec la clé publique
-Si c’est bon, le token est confirmé et on peut faire confiance aux infos du payload
-RS256 utilise le cryptage à clé publique pour signer le jeton. La signature (hachage) sera créée à l'aide de la clé privée et pourra être vérifiée à l'aide de la clé publique. Ainsi, pas besoin de clé privée ou de secret client à stocker sur le serveur principal, mais le serveur principal récupère la clé publique à partir de l'URL de configuration openid de votre locataire (https://[tenant]/.well-known/openid -configuration) pour vérifier le jeton. Le paramètre KID à l'intérieur de access_toekn sera utilisé pour détecter la bonne clé (publique) à partir de la configuration openid.
-</pre>
-=== 2022-04-26 ===
-<pre>
-Le serveur de ressource (Resource Server) doit pouvoir vérifier la légitimité du détenteur du token.
-Mais comment ?
-La spécification décrit clairement cette limitation (§10.3) :
-Cette spécification ne fournit aucune méthode pour que le serveur de ressources s’assure qu’un jeton d’accès qui lui est présenté par un client donné a été émis pour ce client par le serveur d’autorisation.
-"vous pouvez utiliser les jetons d’accès JWT si vous avez des systèmes distribués et que vous devez valider l’authenticité d’un jeton auprès de plusieurs parties sans avoir à passer un appel réseau.
-Par exemple, un jeton est attribué par le serveur d’autorisations. Ce jeton est un jeton Web JSON signé par la clé privée du serveur d’autorisations. Les serveurs de ressources (vers lesquels les appels d’API sont effectués) sont répartis dans le monde entier et exécutent plusieurs applications. Tant que les serveurs de ressources disposent de la clé publique du serveur d’autorisations, qui n’a pas besoin d’être sécurisée, ils peuvent valider les jetons rapidement sans aucun appel réseau. Les jetons n’ont même pas besoin d’être persistés."
-</pre>
-=== 2022-04-28 ===
-https://blog.octo.com/securiser-une-api-rest-tout-ce-quil-faut-savoir/#security_pillars
-=== OAuth2 et OpenID Connect ===
-<pre>
-Les standards de l’industrie pour l’authentification et l’autorisation sont OAuth2 et OpenID Connect : OAuth2 est dédié à la délégation de droits (“moi, utilisateur, autorise cette application à lire mes mails en mon nom”) et OIDC, à la gestion d’identités.
-Ces deux protocoles couvrent à eux deux 99,9% des cas possibles. Nous vous DÉCONSEILLONS FORTEMENT d’essayer d’utiliser d’autres protocoles ou d’essayer de réinventer la roue, ce serait un frein inutile ajouté à vos clients que sont les développeurs d’applications.
-Vous pouvez vous contenter d’utiliser OAuth2 si vous êtes à la fois resource provider et identity provider (et rappelez-vous que vous l’êtes sûrement). OpenID Connect est une extension du protocole OAuth2 et vous permettra donc une migration sans douleur si vous décidez d’utiliser un identity provider externe (connexion avec Facebook, Linkedin, Google, etc).
-</pre>
-=== Symfony ===
-le provider c'est ce qui est retourné par L'AS, un JWT
 <pre>
 security.yaml
@@ Ligne 360 : / Ligne 364 : @@
          - { path: ^/api, roles: IS_AUTHENTICATED_FULLY }
 </pre>
+=== Ressources ===
+[https://www.mechantblog.com/2018/12/token-api-macaroon-jwt/ Le TOKEN API: Simple, JWT et macaron]<br />
+[https://blog.octo.com/securiser-une-api-rest-tout-ce-quil-faut-savoir#security_pillars Sécuriser une API REST : tout ce qu’il faut savoir]<br />
+[https://www.vaadata.com/blog/fr/jetons-jwt-et-securite-principes-et-cas-dutilisation/ Jetons JWT et sécurité – Principes et cas d’utilisation]<br />
+[https://oa.dnc.global/-Decouvrir-.html#definitions Définitions]<br />
+[https://oa.dnc.global/-OAuth-2-0-.html#oauth20lestypesdautorisationgranttype OAuth 2.0 : Les Types d’Autorisation (Grant Type)]
+[https://oauth2.thephpleague.com/authorization-server/which-grant/ PHP OAuth 2.0 authorization server]
 [[Catégorie:Oauth2]]

« Oauth2 lecture » : différence entre les versions

« Oauth2 lecture » : différence entre les versions