« Oauth2 lecture » : différence entre les versions
Aucun résumé des modifications |
|||
(12 versions intermédiaires par le même utilisateur non affichées) | |||
Ligne 1 : | Ligne 1 : | ||
Résumé de lecture de :<br /> | |||
https://oa.dnc.global/-fr-.html et de https://blog.octo.com/securiser-une-api-rest-tout-ce-quil-faut-savoir | |||
=== Serveur === | === Serveur === | ||
Ligne 14 : | Ligne 15 : | ||
-L’Utilisateur utilise vos services, et a peut-être déjà suffisamment de droits pour consommer certaines ressources privées. Et il voudrait y accéder via l’application du développeur décrit précédemment. | -L’Utilisateur utilise vos services, et a peut-être déjà suffisamment de droits pour consommer certaines ressources privées. Et il voudrait y accéder via l’application du développeur décrit précédemment. | ||
-L’Identity Provider sait qui est qui, et sait comment savoir qui est qui. Vous avez suivi ? Il s’agit peut-être aussi de vous, cher lecteur. Beaucoup de resource providers sont aussi des identity providers (pensez à Google, à Facebook…). Si vous stockez votre base d’utilisateurs dans un LDAP d’entreprise, vous n’êtes pas loin d’avoir à votre disposition un identity provider. | -L’Identity Provider sait qui est qui, et sait comment savoir qui est qui. Vous avez suivi ? Il s’agit peut-être aussi de vous, cher lecteur. Beaucoup de resource providers sont aussi des identity providers (pensez à Google, à Facebook…). Si vous stockez votre base d’utilisateurs dans un LDAP d’entreprise, vous n’êtes pas loin d’avoir à votre disposition un identity provider. | ||
Le serveur d'autorisation gère l'autorisation et la gestion des jetons. | Le serveur d'autorisation gère l'autorisation et la gestion des jetons. | ||
Ligne 23 : | Ligne 22 : | ||
vous pouvez avoir votre serveur d'autorisation et votre serveur de ressources dans la même application. Quelle que soit la façon dont vous décidez de le faire, cela dépend de votre style. Cela n'affecte pas la fonctionnalité de vos serveurs. | vous pouvez avoir votre serveur d'autorisation et votre serveur de ressources dans la même application. Quelle que soit la façon dont vous décidez de le faire, cela dépend de votre style. Cela n'affecte pas la fonctionnalité de vos serveurs. | ||
</pre> | </pre> | ||
https://blog.octo.com/securiser-une-api-rest-tout-ce-quil-faut-savoir | |||
=== | === OAuth2 et OpenID Connect === | ||
<pre> | <pre> | ||
Les standards de l’industrie pour l’authentification et l’autorisation sont OAuth2 et OpenID Connect : OAuth2 est dédié à la délégation de droits (“moi, utilisateur, autorise cette application à lire mes mails en mon nom”) et OIDC, à la gestion d’identités. | |||
Ces deux protocoles couvrent à eux deux 99,9% des cas possibles. Nous vous DÉCONSEILLONS FORTEMENT d’essayer d’utiliser d’autres protocoles ou d’essayer de réinventer la roue, ce serait un frein inutile ajouté à vos clients que sont les développeurs d’applications. | |||
Vous pouvez vous contenter d’utiliser OAuth2 si vous êtes à la fois resource provider et identity provider (et rappelez-vous que vous l’êtes sûrement). OpenID Connect est une extension du protocole OAuth2 et vous permettra donc une migration sans douleur si vous décidez d’utiliser un identity provider externe (connexion avec Facebook, Linkedin, Google, etc). | |||
</pre> | </pre> | ||
https://blog.octo.com/securiser-une-api-rest-tout-ce-quil-faut-savoir | |||
=== Authentifier l’application === | === Authentifier l’application === | ||
<pre> | <pre> | ||
Le serveur de ressource (Resource Server) doit pouvoir vérifier la légitimité du détenteur du token. | Le serveur de ressource (Resource Server) doit pouvoir vérifier la légitimité du détenteur du token. | ||
Ligne 45 : | Ligne 47 : | ||
Par exemple, un jeton est attribué par le serveur d’autorisations. Ce jeton est un jeton Web JSON signé par la clé privée du serveur d’autorisations. Les serveurs de ressources (vers lesquels les appels d’API sont effectués) sont répartis dans le monde entier et exécutent plusieurs applications. Tant que les serveurs de ressources disposent de la clé publique du serveur d’autorisations, qui n’a pas besoin d’être sécurisée, ils peuvent valider les jetons rapidement sans aucun appel réseau. Les jetons n’ont même pas besoin d’être persistés." | Par exemple, un jeton est attribué par le serveur d’autorisations. Ce jeton est un jeton Web JSON signé par la clé privée du serveur d’autorisations. Les serveurs de ressources (vers lesquels les appels d’API sont effectués) sont répartis dans le monde entier et exécutent plusieurs applications. Tant que les serveurs de ressources disposent de la clé publique du serveur d’autorisations, qui n’a pas besoin d’être sécurisée, ils peuvent valider les jetons rapidement sans aucun appel réseau. Les jetons n’ont même pas besoin d’être persistés." | ||
</pre> | </pre> | ||
[https://oa.dnc.global/-Authentifier-l-application-.html#verificationdeloriginedelarequeterecueparunserveurderessource Vérification de l’origine de la requête reçue par un serveur de ressource] | |||
=== OAuth 2.0 est un système d’autorisation === | === OAuth 2.0 est un système d’autorisation === | ||
Ligne 79 : | Ligne 82 : | ||
- Le jeton d’accès (Access Token) : Permet au serveur d’une ressource protégée d’autoriser une application cliente à y accéder. Ce jeton est envoyé par l’application cliente en tant que paramètre ou en tant que header dans la requête vers le serveur de ressources. Il a une durée de vie limitée qui est définie par le serveur d’autorisation. | - Le jeton d’accès (Access Token) : Permet au serveur d’une ressource protégée d’autoriser une application cliente à y accéder. Ce jeton est envoyé par l’application cliente en tant que paramètre ou en tant que header dans la requête vers le serveur de ressources. Il a une durée de vie limitée qui est définie par le serveur d’autorisation. | ||
- Le jeton de renouvellement (Refresh Token ) : Utilisé pour demander de prolonger l’accès à une ressource ; envoyé sur demande d’une application qui détient déjà un jeton d’accès valide. | - Le jeton de renouvellement (Refresh Token) : Utilisé pour demander de prolonger l’accès à une ressource ; envoyé sur demande d’une application qui détient déjà un jeton d’accès valide. | ||
</pre> | </pre> | ||
Ligne 140 : | Ligne 143 : | ||
</pre> | </pre> | ||
[https://jwt.io/ (voir jwt.io)] | [https://jwt.io/ (voir jwt.io)] | ||
=== ID Token === | === ID Token === | ||
Ligne 250 : | Ligne 251 : | ||
extremite=>"introspect"<br /> | extremite=>"introspect"<br /> | ||
https://oa.dnc.global/-API-OpenID-Connect-Points-d-extremite-.html#apiopenidconnectintrospectionintrospectionendpoint | https://oa.dnc.global/-API-OpenID-Connect-Points-d-extremite-.html#apiopenidconnectintrospectionintrospectionendpoint | ||
=== Forme de la demande d’Introspection === | |||
'''Contrôle de l’accès''' | |||
<pre> | |||
Les demandes adressées au point de terminaison d’introspection doivent être authentifiées avec les informations d’identification du client (Client Credentials Grant) ou autorisées avec un jeton d’accès au porteur (Bearer Token). | |||
En conséquence, l’application appelante (ou le serveur de ressource) doit être enregistrée comme cliente sur le serveur d’authentification | |||
</pre> | |||
'''Client Credentials Grant''' | |||
<pre> | |||
C’est l’approche la plus simple et celle qui est recommandée. | |||
L’application appelante (ou le serveur de ressource) doit être enregistrée comme cliente sur le serveur d’authentification [1]. | |||
L’authentification est effectuée en utilisant l’authentification HTTP Basic (cf. section 2.3.1 de OAuth 2.0 [RFC6749]). Les identifiants client_id et client_secret sont ceux qui ont été définis lors de l’inscription de l’application cliente sur le serveur. | |||
</pre> | |||
'''Bearer Token''' | |||
<pre> | |||
Cette approche nécessite un jeton d’accès pour autoriser la demande d’introspection. | |||
Pour un serveur de ressource, cela est plus compliqué du fait de la durée limitée de validité du jeton d’accès, contraignant à une nouvelle demande de jeton. Une façon d’obtenir un tel jeton consiste à inscrire l’application pour le flux Client Credential Grant. | |||
L’authentification est effectuée en passant le jeton dans l’en-tête Authorization de la demande d’introspection. | |||
</pre> | |||
=== Contrôle de l’accès === | === Contrôle de l’accès === | ||
Ligne 314 : | Ligne 334 : | ||
[https://oa.dnc.global/-OpenID-Connect-6-.html#validationdujetondidentiteidtokenjwtsigneoujws Validation du jeton d’identité ID Token (JWT signé ou JWS)] | [https://oa.dnc.global/-OpenID-Connect-6-.html#validationdujetondidentiteidtokenjwtsigneoujws Validation du jeton d’identité ID Token (JWT signé ou JWS)] | ||
=== Symfony === | |||
La brique "d'authentification" a 3 rôles | |||
=== | |||
<pre> | <pre> | ||
fournisseur d'identité : qui est l'utilisateur ? ses informations ? Nom, prénom, username, etc..... | |||
Authentification: Demander à l'utilisateur de s'authentifier par un moyen X (login/mot de passe dans une base de données, un LDAP/AD, mais aussi via son token Kerberos, etc....) | |||
Autoriser: OK l'utilisateur existe, il s'est authentifié, mais a-t-il le droit d'accéder à l'application ? | |||
</pre> | </pre> | ||
https://dev.to/gbtux/authentification-openid-connect-avec-symfony-3m5h<br /> | |||
le provider fournit un JWT. | |||
https:// | |||
</ | |||
le provider | |||
<pre> | <pre> | ||
security.yaml | security.yaml | ||
Ligne 367 : | Ligne 364 : | ||
- { path: ^/api, roles: IS_AUTHENTICATED_FULLY } | - { path: ^/api, roles: IS_AUTHENTICATED_FULLY } | ||
</pre> | </pre> | ||
=== Ressources === | |||
[https://www.mechantblog.com/2018/12/token-api-macaroon-jwt/ Le TOKEN API: Simple, JWT et macaron]<br /> | |||
[https://blog.octo.com/securiser-une-api-rest-tout-ce-quil-faut-savoir#security_pillars Sécuriser une API REST : tout ce qu’il faut savoir]<br /> | |||
[https://www.vaadata.com/blog/fr/jetons-jwt-et-securite-principes-et-cas-dutilisation/ Jetons JWT et sécurité – Principes et cas d’utilisation]<br /> | |||
[https://oa.dnc.global/-Decouvrir-.html#definitions Définitions]<br /> | |||
[https://oa.dnc.global/-OAuth-2-0-.html#oauth20lestypesdautorisationgranttype OAuth 2.0 : Les Types d’Autorisation (Grant Type)] | |||
[https://oauth2.thephpleague.com/authorization-server/which-grant/ PHP OAuth 2.0 authorization server] | |||
[[Catégorie:Oauth2]] | [[Catégorie:Oauth2]] |