« Oauth2 lecture » : différence entre les versions
Aucun résumé des modifications |
Aucun résumé des modifications |
||
| Ligne 25 : | Ligne 25 : | ||
- Le jeton de renouvellement (Refresh Token ) : Utilisé pour demander de prolonger l’accès à une ressource ; envoyé sur demande d’une application qui détient déjà un jeton d’accès valide. | - Le jeton de renouvellement (Refresh Token ) : Utilisé pour demander de prolonger l’accès à une ressource ; envoyé sur demande d’une application qui détient déjà un jeton d’accès valide. | ||
</pre> | |||
=== Jeton d'identification === | |||
google exemple | |||
https://developers.google.com/identity/protocols/oauth2/openid-connect?csw=1#validatinganidtoken | |||
<pre> | |||
La validation d'un jeton d'identification nécessite plusieurs étapes : | |||
Vérifiez que le jeton d'identification est correctement signé par l'émetteur. Les jetons émis sont signés à l'aide de l'un des certificats trouvés à l'URI spécifié dans la valeur de métadonnées. | |||
Vérifiez la valeur de la revendication iss dans le jeton d'ID | |||
Vérifiez que la valeur de la revendication aud dans le jeton d'ID est égale à l'ID client de votre application. | |||
Vérifiez que le délai d'expiration (demande exp ) du jeton d'ID n'est pas dépassé. | |||
Si vous avez spécifié une valeur de paramètre hd dans la demande, vérifiez que le jeton d'ID a une revendication hd qui correspond à un domaine hébergé accepté. | |||
les clefs publiques peuvent etre mises en cache et donc effectuer une validation local. | |||
Cette validation nécessite de récupérer et d'analyser les certificats, et d'effectuer les appels cryptographiques appropriés pour vérifier la signature | |||
Heureusement, il existe des bibliothèques bien déboguées disponibles dans une grande variété de langages pour accomplir cela (voir jwt.io ). | |||
</pre> | </pre> | ||
| Ligne 219 : | Ligne 236 : | ||
</pre> | </pre> | ||
=== Problématique === | === Problématique === | ||
<pre> | <pre> | ||