« DeepSeek apiplatform keycloak » : différence entre les versions
| Ligne 169 : | Ligne 169 : | ||
Lorsque vous utilisez '''API Platform''' avec un serveur '''Keycloak''', il est important de comprendre la différence entre '''ID Token''' et '''Access Token''', car ces deux types de tokens ont des rôles distincts dans le processus d'authentification et d'autorisation. Voici une explication détaillée : | Lorsque vous utilisez '''API Platform''' avec un serveur '''Keycloak''', il est important de comprendre la différence entre '''ID Token''' et '''Access Token''', car ces deux types de tokens ont des rôles distincts dans le processus d'authentification et d'autorisation. Voici une explication détaillée : | ||
<hr> | |||
=== 1. '''Access Token'''=== | === 1. '''Access Token'''=== | ||
==== a. '''Rôle''' : ==== | ==== a. '''Rôle''' : ==== | ||
| Ligne 254 : | Ligne 252 : | ||
:Le client envoie l''''Access Token''' dans l'en-tête `Authorization` des requêtes API. | :Le client envoie l''''Access Token''' dans l'en-tête `Authorization` des requêtes API. | ||
:API Platform valide l''''Access Token''' et vérifie les permissions avant de renvoyer les données. | :API Platform valide l''''Access Token''' et vérifie les permissions avant de renvoyer les données. | ||
<hr> | |||
===5. '''Exemple concret'''=== | ===5. '''Exemple concret'''=== | ||
===='''Scénario''' :==== | ===='''Scénario''' :==== | ||
| Ligne 284 : | Ligne 280 : | ||
:API Platform valide l''''Access Token''' en utilisant la clé publique de Keycloak. | :API Platform valide l''''Access Token''' en utilisant la clé publique de Keycloak. | ||
:Si le token est valide et que l'utilisateur a les permissions nécessaires, l'API renvoie les données. | :Si le token est valide et que l'utilisateur a les permissions nécessaires, l'API renvoie les données. | ||
<hr> | |||
===6. '''Bonnes pratiques'''=== | ===6. '''Bonnes pratiques'''=== | ||
| Ligne 290 : | Ligne 286 : | ||
:'''Utiliser HTTPS''' : Pour protéger les tokens lors de leur transmission. | :'''Utiliser HTTPS''' : Pour protéger les tokens lors de leur transmission. | ||
:'''Vérifier les scopes et rôles''' : Assurez-vous que l'Access Token contient les permissions nécessaires pour accéder aux ressources. | :'''Vérifier les scopes et rôles''' : Assurez-vous que l'Access Token contient les permissions nécessaires pour accéder aux ressources. | ||
<hr> | |||
===7. '''En résumé''' === | ===7. '''En résumé''' === | ||
l''''ID Token''' est utilisé pour authentifier l'utilisateur côté client, tandis que l''''Access Token''' est utilisé pour accéder aux ressources protégées côté serveur (API Platform).<br /> | l''''ID Token''' est utilisé pour authentifier l'utilisateur côté client, tandis que l''''Access Token''' est utilisé pour accéder aux ressources protégées côté serveur (API Platform).<br /> | ||