« Oauth2 lecture » : différence entre les versions
Aucun résumé des modifications |
|||
| Ligne 254 : | Ligne 254 : | ||
=== Forme de la demande d’Introspection === | === Forme de la demande d’Introspection === | ||
<pre> | <pre> | ||
Contrôle de l’accès | '''Contrôle de l’accès''' | ||
Les demandes adressées au point de terminaison d’introspection doivent être authentifiées avec les informations d’identification du client (Client Credentials Grant) ou autorisées avec un jeton d’accès au porteur (Bearer Token). | Les demandes adressées au point de terminaison d’introspection doivent être authentifiées avec les informations d’identification du client (Client Credentials Grant) ou autorisées avec un jeton d’accès au porteur (Bearer Token). | ||
En conséquence, l’application appelante (ou le serveur de ressource) doit être enregistrée comme cliente sur le serveur d’authentification | En conséquence, l’application appelante (ou le serveur de ressource) doit être enregistrée comme cliente sur le serveur d’authentification | ||
Client Credentials Grant | '''Client Credentials Grant''' | ||
C’est l’approche la plus simple et celle qui est recommandée. | C’est l’approche la plus simple et celle qui est recommandée. | ||
L’application appelante (ou le serveur de ressource) doit être enregistrée comme cliente sur le serveur d’authentification [1]. | L’application appelante (ou le serveur de ressource) doit être enregistrée comme cliente sur le serveur d’authentification [1]. | ||
L’authentification est effectuée en utilisant l’authentification HTTP Basic (cf. section 2.3.1 de OAuth 2.0 [RFC6749]). Les identifiants client_id et client_secret sont ceux qui ont été définis lors de l’inscription de l’application cliente sur le serveur. | L’authentification est effectuée en utilisant l’authentification HTTP Basic (cf. section 2.3.1 de OAuth 2.0 [RFC6749]). Les identifiants client_id et client_secret sont ceux qui ont été définis lors de l’inscription de l’application cliente sur le serveur. | ||
Bearer Token | '''Bearer Token''' | ||
Cette approche nécessite un jeton d’accès pour autoriser la demande d’introspection. | Cette approche nécessite un jeton d’accès pour autoriser la demande d’introspection. | ||
Pour un serveur de ressource, cela est plus compliqué du fait de la durée limitée de validité du jeton d’accès, contraignant à une nouvelle demande de jeton. Une façon d’obtenir un tel jeton consiste à inscrire l’application pour le flux Client Credential Grant. | Pour un serveur de ressource, cela est plus compliqué du fait de la durée limitée de validité du jeton d’accès, contraignant à une nouvelle demande de jeton. Une façon d’obtenir un tel jeton consiste à inscrire l’application pour le flux Client Credential Grant. | ||