« Oauth2 lecture » : différence entre les versions

(12 versions intermédiaires par le même utilisateur non affichées)

Ligne 1 :

~~(à réorganiser)~~

Résumé de lecture de :

https://oa.dnc.global/-fr-.html et de https://blog.octo.com/securiser-une-api-rest-tout-ce-quil-faut-savoir

=== Serveur ===

Ligne 14 :

Ligne 15 :

-L’Utilisateur utilise vos services, et a peut-être déjà suffisamment de droits pour consommer certaines ressources privées. Et il voudrait y accéder via l’application du développeur décrit précédemment.

-L’Identity Provider sait qui est qui, et sait comment savoir qui est qui. Vous avez suivi ? Il s’agit peut-être aussi de vous, cher lecteur. Beaucoup de resource providers sont aussi des identity providers (pensez à Google, à Facebook…). Si vous stockez votre base d’utilisateurs dans un LDAP d’entreprise, vous n’êtes pas loin d’avoir à votre disposition un identity provider.

~~</pre>~~

~~<pre>~~

Le serveur d'autorisation gère l'autorisation et la gestion des jetons.

Ligne 23 :

Ligne 22 :

vous pouvez avoir votre serveur d'autorisation et votre serveur de ressources dans la même application. Quelle que soit la façon dont vous décidez de le faire, cela dépend de votre style. Cela n'affecte pas la fonctionnalité de vos serveurs.

</pre>

https://blog.octo.com/securiser-une-api-rest-tout-ce-quil-faut-savoir

=== ~~la brique "d'authentification" a 3 rôles~~ ===

=== OAuth2 et OpenID Connect ===

<pre>

~~fournisseur d'identité~~ : ~~qui~~ est l'utilisateur ~~? ses informations ? Nom~~, ~~prénom~~, ~~username~~, ~~etc...~~..

Les standards de l’industrie pour l’authentification et l’autorisation sont OAuth2 et OpenID Connect : OAuth2 est dédié à la délégation de droits (“moi, utilisateur, autorise cette application à lire mes mails en mon nom”) et OIDC, à la gestion d’identités.

~~Authentification: Demander~~ à ~~l'utilisateur de s'authentifier par~~ un ~~moyen X~~ (~~login/mot de passe dans une base de données~~, ~~un LDAP/AD~~, ~~mais aussi via son token Kerberos~~, etc.~~...)~~

~~Autoriser: OK l'utilisateur existe, il s'est authentifié, mais a-t-il le droit d'accéder à l'application ?~~

Ces deux protocoles couvrent à eux deux 99,9% des cas possibles. Nous vous DÉCONSEILLONS FORTEMENT d’essayer d’utiliser d’autres protocoles ou d’essayer de réinventer la roue, ce serait un frein inutile ajouté à vos clients que sont les développeurs d’applications.

Vous pouvez vous contenter d’utiliser OAuth2 si vous êtes à la fois resource provider et identity provider (et rappelez-vous que vous l’êtes sûrement). OpenID Connect est une extension du protocole OAuth2 et vous permettra donc une migration sans douleur si vous décidez d’utiliser un identity provider externe (connexion avec Facebook, Linkedin, Google, etc).

</pre>

https://blog.octo.com/securiser-une-api-rest-tout-ce-quil-faut-savoir

=== Authentifier l’application ===

~~[https://oa.dnc.global/-Authentifier-l-application-.html#verificationdeloriginedelarequeterecueparunserveurderessource Vérification de l’origine de la requête reçue par un serveur de ressource]~~

<pre>

Le serveur de ressource (Resource Server) doit pouvoir vérifier la légitimité du détenteur du token.

Ligne 45 :

Ligne 47 :

Par exemple, un jeton est attribué par le serveur d’autorisations. Ce jeton est un jeton Web JSON signé par la clé privée du serveur d’autorisations. Les serveurs de ressources (vers lesquels les appels d’API sont effectués) sont répartis dans le monde entier et exécutent plusieurs applications. Tant que les serveurs de ressources disposent de la clé publique du serveur d’autorisations, qui n’a pas besoin d’être sécurisée, ils peuvent valider les jetons rapidement sans aucun appel réseau. Les jetons n’ont même pas besoin d’être persistés."

</pre>

[https://oa.dnc.global/-Authentifier-l-application-.html#verificationdeloriginedelarequeterecueparunserveurderessource Vérification de l’origine de la requête reçue par un serveur de ressource]

=== OAuth 2.0 est un système d’autorisation ===

Ligne 79 :

Ligne 82 :

- Le jeton d’accès (Access Token) : Permet au serveur d’une ressource protégée d’autoriser une application cliente à y accéder. Ce jeton est envoyé par l’application cliente en tant que paramètre ou en tant que header dans la requête vers le serveur de ressources. Il a une durée de vie limitée qui est définie par le serveur d’autorisation.

- Le jeton de renouvellement (Refresh Token ) : Utilisé pour demander de prolonger l’accès à une ressource ; envoyé sur demande d’une application qui détient déjà un jeton d’accès valide.

- Le jeton de renouvellement (Refresh Token) : Utilisé pour demander de prolonger l’accès à une ressource ; envoyé sur demande d’une application qui détient déjà un jeton d’accès valide.

</pre>

Ligne 140 :

Ligne 143 :

</pre>

[https://jwt.io/ (voir jwt.io)]

=== ID Token ===

Ligne 250 :

Ligne 251 :

extremite=>"introspect"

https://oa.dnc.global/-API-OpenID-Connect-Points-d-extremite-.html#apiopenidconnectintrospectionintrospectionendpoint

=== Forme de la demande d’Introspection ===

'''Contrôle de l’accès'''

<pre>

Les demandes adressées au point de terminaison d’introspection doivent être authentifiées avec les informations d’identification du client (Client Credentials Grant) ou autorisées avec un jeton d’accès au porteur (Bearer Token).

En conséquence, l’application appelante (ou le serveur de ressource) doit être enregistrée comme cliente sur le serveur d’authentification

</pre>

'''Client Credentials Grant'''

<pre>

C’est l’approche la plus simple et celle qui est recommandée.

L’application appelante (ou le serveur de ressource) doit être enregistrée comme cliente sur le serveur d’authentification [1].

L’authentification est effectuée en utilisant l’authentification HTTP Basic (cf. section 2.3.1 de OAuth 2.0 [RFC6749]). Les identifiants client_id et client_secret sont ceux qui ont été définis lors de l’inscription de l’application cliente sur le serveur.

</pre>

'''Bearer Token'''

<pre>

Cette approche nécessite un jeton d’accès pour autoriser la demande d’introspection.

Pour un serveur de ressource, cela est plus compliqué du fait de la durée limitée de validité du jeton d’accès, contraignant à une nouvelle demande de jeton. Une façon d’obtenir un tel jeton consiste à inscrire l’application pour le flux Client Credential Grant.

L’authentification est effectuée en passant le jeton dans l’en-tête Authorization de la demande d’introspection.

</pre>

=== Contrôle de l’accès ===

Ligne 314 :

Ligne 334 :

[https://oa.dnc.global/-OpenID-Connect-6-.html#validationdujetondidentiteidtokenjwtsigneoujws Validation du jeton d’identité ID Token (JWT signé ou JWS)]

=== Symfony ===

La brique "d'authentification" a 3 rôles

=== ~~2022-04-25~~ ===

~~https://www.mechantblog.com/2018/12/token-api-macaroon-jwt/~~

<pre>

~~Vu que le secret peut être asymétrique~~, ~~Il est possible~~ de ~~créer une clé privée/publique~~ par ~~utilisateur. On génère~~ un ~~token avec la clé privée, et on enregistre la clé publique~~ dans la base de données~~. Cette clé n’est pas critique et peut être volée sans rien compromettre. Ce qui donnerait ceci:~~

fournisseur d'identité : qui est l'utilisateur ? ses informations ? Nom, prénom, username, etc.....

~~Récupération du token dans le header (ou~~ un ~~cookie~~, ~~une session, etc…)~~

Authentification: Demander à l'utilisateur de s'authentifier par un moyen X (login/mot de passe dans une base de données, un LDAP/AD, mais aussi via son token Kerberos, etc....)

~~Extraction du champs userId dans le payload~~

Autoriser: OK l'utilisateur existe, il s'est authentifié, mais a-t-il le droit d'accéder à l'application ?

~~Récupération de la clé publique liée à cet utilisateur~~

~~Vérification du~~ token ~~avec la clé publique~~

~~Si c’est bon~~, ~~le token est confirmé et on peut faire confiance aux infos du payload~~

~~RS256 utilise le cryptage à clé publique pour signer le jeton~~. ~~La signature (hachage~~) ~~sera créée à~~ l'~~aide de la clé privée et pourra être vérifiée à l~~'~~aide de la clé publique. Ainsi, pas besoin de clé privée ou de secret client à stocker sur le serveur principal~~, mais ~~le serveur principal récupère la clé publique à partir de l'URL de configuration openid de votre locataire (https://[tenant]/.well~~-~~known/openid~~ -~~configuration) pour vérifier~~ le ~~jeton. Le paramètre KID~~ à l'~~intérieur de access_toekn sera utilisé pour détecter la bonne clé (publique) à partir de la configuration openid.~~

</pre>

https://dev.to/gbtux/authentification-openid-connect-avec-symfony-3m5h

le provider fournit un JWT.

~~=== 2022-04-28 ===~~

https://~~blog~~.~~octo.com~~/~~securiser~~-~~une~~-~~api~~-~~rest~~-~~tout~~-~~ce-quil-faut-savoir/#security_pillars~~

~~=== OAuth2 et OpenID Connect ===~~

~~<pre>~~

Les standards de l’industrie pour l’authentification et l’autorisation sont OAuth2 et OpenID Connect : OAuth2 est dédié à la délégation de droits (“moi, utilisateur, autorise cette application à lire mes mails en mon nom”) et OIDC, à la gestion d’identités.

Ces deux protocoles couvrent à eux deux 99,9% des cas possibles. Nous vous DÉCONSEILLONS FORTEMENT d’essayer d’utiliser d’autres protocoles ou d’essayer de réinventer la roue, ce serait un frein inutile ajouté à vos clients que sont les développeurs d’applications.

Vous pouvez vous contenter d’utiliser OAuth2 si vous êtes à la fois resource provider et identity provider (et rappelez-vous que vous l’êtes sûrement). OpenID Connect est une extension du protocole OAuth2 et vous permettra donc une migration sans douleur si vous décidez d’utiliser un identity provider externe (connexion avec Facebook, Linkedin, Google, etc).

</~~pre~~>

~~=== Symfony ===~~

le provider ~~c'est ce qui est retourné par L'AS,~~ un JWT

<pre>

security.yaml

Ligne 367 :

Ligne 364 :

- { path: ^/api, roles: IS_AUTHENTICATED_FULLY }

</pre>

=== Ressources ===

[https://www.mechantblog.com/2018/12/token-api-macaroon-jwt/ Le TOKEN API: Simple, JWT et macaron]

[https://blog.octo.com/securiser-une-api-rest-tout-ce-quil-faut-savoir#security_pillars Sécuriser une API REST : tout ce qu’il faut savoir]

[https://www.vaadata.com/blog/fr/jetons-jwt-et-securite-principes-et-cas-dutilisation/ Jetons JWT et sécurité – Principes et cas d’utilisation]

[https://oa.dnc.global/-Decouvrir-.html#definitions Définitions]

[https://oa.dnc.global/-OAuth-2-0-.html#oauth20lestypesdautorisationgranttype OAuth 2.0 : Les Types d’Autorisation (Grant Type)]

[https://oauth2.thephpleague.com/authorization-server/which-grant/ PHP OAuth 2.0 authorization server]

[[Catégorie:Oauth2]]

@@ Ligne 1 : / Ligne 1 : @@
-(à réorganiser)
+Résumé de lecture de :<br />
+https://oa.dnc.global/-fr-.html et de https://blog.octo.com/securiser-une-api-rest-tout-ce-quil-faut-savoir
 === Serveur ===
@@ Ligne 14 : / Ligne 15 : @@
 -L’Utilisateur utilise vos services, et a peut-être déjà suffisamment de droits pour consommer certaines ressources privées. Et il voudrait y accéder via l’application du développeur décrit précédemment.
 -L’Identity Provider sait qui est qui, et sait comment savoir qui est qui. Vous avez suivi ? Il s’agit peut-être aussi de vous, cher lecteur. Beaucoup de resource providers sont aussi des identity providers (pensez à Google, à Facebook…). Si vous stockez votre base d’utilisateurs dans un LDAP d’entreprise, vous n’êtes pas loin d’avoir à votre disposition un identity provider.
-</pre>
-<pre>
 Le serveur d'autorisation gère l'autorisation et la gestion des jetons.
@@ Ligne 23 : / Ligne 22 : @@
 vous pouvez avoir votre serveur d'autorisation et votre serveur de ressources dans la même application. Quelle que soit la façon dont vous décidez de le faire, cela dépend de votre style. Cela n'affecte pas la fonctionnalité de vos serveurs.
 </pre>
+https://blog.octo.com/securiser-une-api-rest-tout-ce-quil-faut-savoir
-=== la brique "d'authentification" a 3 rôles  ===
+=== OAuth2 et OpenID Connect ===
 <pre>
-fournisseur d'identité : qui est l'utilisateur ? ses informations ? Nom, prénom, username, etc.....
+Les standards de l’industrie pour l’authentification et l’autorisation sont OAuth2 et OpenID Connect : OAuth2 est dédié à la délégation de droits (“moi, utilisateur, autorise cette application à lire mes mails en mon nom”) et OIDC, à la gestion d’identités.
-Authentification: Demander à l'utilisateur de s'authentifier par un moyen X (login/mot de passe dans une base de données, un LDAP/AD, mais aussi via son token Kerberos, etc....)
-Autoriser: OK l'utilisateur existe, il s'est authentifié, mais a-t-il le droit d'accéder à l'application ?
+Ces deux protocoles couvrent à eux deux 99,9% des cas possibles. Nous vous DÉCONSEILLONS FORTEMENT d’essayer d’utiliser d’autres protocoles ou d’essayer de réinventer la roue, ce serait un frein inutile ajouté à vos clients que sont les développeurs d’applications.
+Vous pouvez vous contenter d’utiliser OAuth2 si vous êtes à la fois resource provider et identity provider (et rappelez-vous que vous l’êtes sûrement). OpenID Connect est une extension du protocole OAuth2 et vous permettra donc une migration sans douleur si vous décidez d’utiliser un identity provider externe (connexion avec Facebook, Linkedin, Google, etc).
 </pre>
+https://blog.octo.com/securiser-une-api-rest-tout-ce-quil-faut-savoir
 === Authentifier l’application ===
-[https://oa.dnc.global/-Authentifier-l-application-.html#verificationdeloriginedelarequeterecueparunserveurderessource Vérification de l’origine de la requête reçue par un serveur de ressource]
 <pre>
 Le serveur de ressource (Resource Server) doit pouvoir vérifier la légitimité du détenteur du token.
@@ Ligne 45 : / Ligne 47 : @@
 Par exemple, un jeton est attribué par le serveur d’autorisations. Ce jeton est un jeton Web JSON signé par la clé privée du serveur d’autorisations. Les serveurs de ressources (vers lesquels les appels d’API sont effectués) sont répartis dans le monde entier et exécutent plusieurs applications. Tant que les serveurs de ressources disposent de la clé publique du serveur d’autorisations, qui n’a pas besoin d’être sécurisée, ils peuvent valider les jetons rapidement sans aucun appel réseau. Les jetons n’ont même pas besoin d’être persistés."
 </pre>
+[https://oa.dnc.global/-Authentifier-l-application-.html#verificationdeloriginedelarequeterecueparunserveurderessource Vérification de l’origine de la requête reçue par un serveur de ressource]
 === OAuth 2.0 est un système d’autorisation ===
@@ Ligne 79 : / Ligne 82 : @@
 - Le jeton d’accès (Access Token) : Permet au serveur d’une ressource protégée d’autoriser une application cliente à y accéder. Ce jeton est envoyé par l’application cliente en tant que paramètre ou en tant que header dans la requête vers le serveur de ressources. Il a une durée de vie limitée qui est définie par le serveur d’autorisation.
-- Le jeton de renouvellement (Refresh Token ) : Utilisé pour demander de prolonger l’accès à une ressource ; envoyé sur demande d’une application qui détient déjà un jeton d’accès valide.
+- Le jeton de renouvellement (Refresh Token) : Utilisé pour demander de prolonger l’accès à une ressource ; envoyé sur demande d’une application qui détient déjà un jeton d’accès valide.
 </pre>
@@ Ligne 140 : / Ligne 143 : @@
 </pre>
 [https://jwt.io/ (voir jwt.io)]
 === ID Token ===
@@ Ligne 250 : / Ligne 251 : @@
 extremite=>"introspect"<br />
 https://oa.dnc.global/-API-OpenID-Connect-Points-d-extremite-.html#apiopenidconnectintrospectionintrospectionendpoint
+=== Forme de la demande d’Introspection ===
+'''Contrôle de l’accès'''
+<pre>
+Les demandes adressées au point de terminaison d’introspection doivent être authentifiées avec les informations d’identification du client (Client Credentials Grant) ou autorisées avec un jeton d’accès au porteur (Bearer Token).
+En conséquence, l’application appelante (ou le serveur de ressource) doit être enregistrée comme cliente sur le serveur d’authentification
+</pre>
+'''Client Credentials Grant'''
+<pre>
+C’est l’approche la plus simple et celle qui est recommandée.
+L’application appelante (ou le serveur de ressource) doit être enregistrée comme cliente sur le serveur d’authentification [1].
+L’authentification est effectuée en utilisant l’authentification HTTP Basic (cf. section 2.3.1 de OAuth 2.0 [RFC6749]). Les identifiants client_id et client_secret sont ceux qui ont été définis lors de l’inscription de l’application cliente sur le serveur.
+</pre>
+'''Bearer Token'''
+<pre>
+Cette approche nécessite un jeton d’accès pour autoriser la demande d’introspection.
+Pour un serveur de ressource, cela est plus compliqué du fait de la durée limitée de validité du jeton d’accès, contraignant à une nouvelle demande de jeton. Une façon d’obtenir un tel jeton consiste à inscrire l’application pour le flux Client Credential Grant.
+L’authentification est effectuée en passant le jeton dans l’en-tête Authorization de la demande d’introspection.
+</pre>
 === Contrôle de l’accès ===
@@ Ligne 314 : / Ligne 334 : @@
 [https://oa.dnc.global/-OpenID-Connect-6-.html#validationdujetondidentiteidtokenjwtsigneoujws Validation du jeton d’identité ID Token (JWT signé ou JWS)]
+=== Symfony ===
+La brique "d'authentification" a 3 rôles
-=== 2022-04-25 ===
-https://www.mechantblog.com/2018/12/token-api-macaroon-jwt/
 <pre>
-Vu que le secret peut être asymétrique, Il est possible de créer une clé privée/publique par utilisateur. On génère un token avec la clé privée, et on enregistre la clé publique dans la base de données. Cette clé n’est pas critique et peut être volée sans rien compromettre. Ce qui donnerait ceci:
+fournisseur d'identité : qui est l'utilisateur ? ses informations ? Nom, prénom, username, etc.....
-Récupération du token dans le header (ou un cookie, une session, etc…)
+Authentification: Demander à l'utilisateur de s'authentifier par un moyen X (login/mot de passe dans une base de données, un LDAP/AD, mais aussi via son token Kerberos, etc....)
-Extraction du champs userId dans le payload
+Autoriser: OK l'utilisateur existe, il s'est authentifié, mais a-t-il le droit d'accéder à l'application ?
-Récupération de la clé publique liée à cet utilisateur
-Vérification du token avec la clé publique
-Si c’est bon, le token est confirmé et on peut faire confiance aux infos du payload
-RS256 utilise le cryptage à clé publique pour signer le jeton. La signature (hachage) sera créée à l'aide de la clé privée et pourra être vérifiée à l'aide de la clé publique. Ainsi, pas besoin de clé privée ou de secret client à stocker sur le serveur principal, mais le serveur principal récupère la clé publique à partir de l'URL de configuration openid de votre locataire (https://[tenant]/.well-known/openid -configuration) pour vérifier le jeton. Le paramètre KID à l'intérieur de access_toekn sera utilisé pour détecter la bonne clé (publique) à partir de la configuration openid.
 </pre>
+https://dev.to/gbtux/authentification-openid-connect-avec-symfony-3m5h<br />
+le provider fournit un JWT.
-=== 2022-04-28 ===
-https://blog.octo.com/securiser-une-api-rest-tout-ce-quil-faut-savoir/#security_pillars
-=== OAuth2 et OpenID Connect ===
-<pre>
-Les standards de l’industrie pour l’authentification et l’autorisation sont OAuth2 et OpenID Connect : OAuth2 est dédié à la délégation de droits (“moi, utilisateur, autorise cette application à lire mes mails en mon nom”) et OIDC, à la gestion d’identités.
-Ces deux protocoles couvrent à eux deux 99,9% des cas possibles. Nous vous DÉCONSEILLONS FORTEMENT d’essayer d’utiliser d’autres protocoles ou d’essayer de réinventer la roue, ce serait un frein inutile ajouté à vos clients que sont les développeurs d’applications.
-Vous pouvez vous contenter d’utiliser OAuth2 si vous êtes à la fois resource provider et identity provider (et rappelez-vous que vous l’êtes sûrement). OpenID Connect est une extension du protocole OAuth2 et vous permettra donc une migration sans douleur si vous décidez d’utiliser un identity provider externe (connexion avec Facebook, Linkedin, Google, etc).
-</pre>
-=== Symfony ===
-le provider c'est ce qui est retourné par L'AS, un JWT
 <pre>
 security.yaml
@@ Ligne 367 : / Ligne 364 : @@
          - { path: ^/api, roles: IS_AUTHENTICATED_FULLY }
 </pre>
+=== Ressources ===
+[https://www.mechantblog.com/2018/12/token-api-macaroon-jwt/ Le TOKEN API: Simple, JWT et macaron]<br />
+[https://blog.octo.com/securiser-une-api-rest-tout-ce-quil-faut-savoir#security_pillars Sécuriser une API REST : tout ce qu’il faut savoir]<br />
+[https://www.vaadata.com/blog/fr/jetons-jwt-et-securite-principes-et-cas-dutilisation/ Jetons JWT et sécurité – Principes et cas d’utilisation]<br />
+[https://oa.dnc.global/-Decouvrir-.html#definitions Définitions]<br />
+[https://oa.dnc.global/-OAuth-2-0-.html#oauth20lestypesdautorisationgranttype OAuth 2.0 : Les Types d’Autorisation (Grant Type)]
+[https://oauth2.thephpleague.com/authorization-server/which-grant/ PHP OAuth 2.0 authorization server]
 [[Catégorie:Oauth2]]

« Oauth2 lecture » : différence entre les versions

« Oauth2 lecture » : différence entre les versions