TsgcHTTP_OAuth2_Server

Diese Komponente bietet die OAuth2-Protokollimplementierung in serverseitigen Komponenten.

Die Server-Komponenten haben eine Eigenschaft namens Authorization.OAuth.OAuth2, der Sie eine Instanz von TsgcHTTP_OAuth2_Server zuweisen können. Wenn also Authentication aktiviert ist und die OAuth2-Eigenschaft an die OAuth2-Server-Komponente angehängt ist, benötigen die WebSocket- und HTTP-Requests ein Bearer-Token, um verarbeitet zu werden; andernfalls wird die Verbindung automatisch geschlossen.

    OAuth2 := TsgcHTTP_OAuth2_Server.Create(nil);
    Server.Authentication.Enabled := True;
    Server.Authentication.OAuth.OAuth2 := OAuth2;

Der Server unterstützt die folgenden Autorisierungstypen:

• auth2Code: Wird verwendet, um Authentifizierung und Autorisierung in den meisten Anwendungstypen durchzuführen, einschließlich Single-Page-Anwendungen, Webanwendungen und nativ installierten Anwendungen. Der Ablauf ermöglicht es Apps, sicher access_tokens zu erwerben, die für den Zugriff auf gesicherte Ressourcen verwendet werden können, sowie Refresh Tokens, um zusätzliche access_tokens zu erhalten, und ID-Tokens für den angemeldeten Benutzer.

• auth2ClientCredentials: Dieser Grant-Typ wird häufig für Server-zu-Server-Interaktionen verwendet, die im Hintergrund ohne unmittelbare Interaktion mit einem Benutzer ausgeführt werden müssen. Solche Anwendungen werden oft als Daemons oder Dienstkonten bezeichnet.

• password (Resource Owner Password Credentials): Ermöglicht einer Anwendung, den Benutzer anzumelden, indem sie dessen Anmeldedaten direkt verarbeitet. Der Client sendet den Benutzernamen und das Passwort des Benutzers an den Token-Endpunkt.

• urn:ietf:params:oauth:grant-type:device_code (Device Code): Device Authorization Grant gemäß RFC 8628. Ermöglicht Geräten mit eingeschränkter Eingabe (Smart-TVs, IoT-Geräte), eine Benutzerautorisierung zu erhalten, indem der Benutzer die Autorisierung auf einem Zweitgerät vornimmt.

Der Autorisierungstyp kann bei der Registrierung der App angepasst werden. Standardmäßig werden alle Autorisierungstypen unterstützt.

EndPoints

Standardmäßig ist die Komponente mit den folgenden Endpunkten konfiguriert, um Autorisierungs- und Token-Anfragen zu behandeln

Authorization: /sgc/oauth2/auth

Token: /sgc/oauth2/token

Revocation: /sgc/oauth2/revoke

Introspection: /sgc/oauth2/introspect

Device Authorization: /sgc/oauth2/device

Device Verification: /sgc/oauth2/device/verify

Wenn der Server also auf Port 443 lauscht und die Domain www.esegece.com ist, sind die EndPoints:

Authorization: https://www.esegece.com/sgc/oauth2/auth

Token: https://www.esegece.com/sgc/oauth2/token

Revocation: https://www.esegece.com/sgc/oauth2/revoke

Introspection: https://www.esegece.com/sgc/oauth2/introspect

Device Authorization: https://www.esegece.com/sgc/oauth2/device

Device Verification: https://www.esegece.com/sgc/oauth2/device/verify

Die Endpunkte können in der Eigenschaft OAuth2Options konfiguriert werden.

Standardmäßig ist PKCE (eine Erweiterung des Authorization-Code-Flows zur Verhinderung von CSRF- und Authorization-Code-Injection-Angriffen) aktiviert.

Konfiguration

Bevor Sie den OAuth2-Prozess starten können, müssen Sie registrieren, welche Apps verfügbar sein werden; dies geschieht über die Apps-Eigenschaft der OAuth2-Server-Komponente.

App registrieren

Verwenden Sie Apps.AddApp, um eine neue Anwendung zum OAuth2-Server hinzuzufügen; Sie müssen die folgenden Parameter setzen:

• App Name: ist der Name der Anwendung. Beispiel: MyApp
• RedirectURI: ist der Ort, an den die Antworten umgeleitet werden. Beispiel: http://127.0.0.1:8080
• ClientId: ist eine öffentliche Information und die ID des Clients.
• ClientSecret: muss vertraulich behandelt werden.

Optional können Sie die folgenden Parameter festlegen:

• ExpiresIn: standardmäßig 3600 Sekunden, sodass das Token in 1 Stunde abläuft; Sie können einen größeren Wert festlegen, wenn Sie es benötigen.
• RefreshToken: standardmäßig werden Refresh-Tokens unterstützt; falls nicht, setzen Sie diesen Parameter auf false.
• AllowedGrantTypes: standardmäßig werden alle Grant-Typen unterstützt (auth2Code und auth2ClientCredentials), aber der Server kann so konfiguriert werden, dass er nur Code Authorization oder nur Client Credentials zulässt.

App löschen

Verwenden Sie Apps.RemoveApp, um eine vorhandene App zu löschen.

AddToken

Wenn der Server neu gestartet wurde, während einige Tokens ausgegeben waren, können Sie diese Tokens mit der Methode AddToken wiederherstellen, bevor Sie den OAuth2-Server starten und nachdem Sie die Apps registriert haben

• AppName: der Name der Anwendung.
• Token: Zugriffstoken.
• Expires: wann das Token abläuft.
• RefreshToken: Refresh-Token.

RemoveToken

Entfernt ein bereits ausgegebenes Token.

OAuth2Options

Die Eigenschaft OAuth2Options ermöglicht die Konfiguration der Server-Endpunkte und optionaler Funktionen.

Revocation

Token-Widerruf gemäß RFC 7009. Wenn aktiviert, können Clients zuvor ausgestellte Access- oder Refresh-Tokens widerrufen.

• OAuth2Options.Revocation.Enabled: auf True setzen, um den Revocation-Endpunkt zu aktivieren.
• OAuth2Options.Revocation.URL: der Endpunkt-URL-Pfad. Standard: /sgc/oauth2/revoke

Introspection

Token-Introspektion gemäß RFC 7662. Wenn aktiviert, können Resource Server den Autorisierungsserver abfragen, um den aktiven Zustand und die Metadaten eines Tokens zu ermitteln.

• OAuth2Options.Introspection.Enabled: auf True setzen, um den Introspection-Endpunkt zu aktivieren.
• OAuth2Options.Introspection.URL: der Endpunkt-URL-Pfad. Standard: /sgc/oauth2/introspect

DeviceAuthorization

Device Authorization Grant gemäß RFC 8628. Wenn aktiviert, können Geräte mit eingeschränkter Eingabe eine Autorisierung anfordern, indem der Benutzer die Autorisierung auf einem Zweitgerät vornimmt.

• OAuth2Options.DeviceAuthorization.Enabled: auf True setzen, um den Device-Authorization-Endpunkt zu aktivieren.
• OAuth2Options.DeviceAuthorization.URL: der Endpunkt-URL-Pfad für Geräte-Code-Anfragen. Standard: /sgc/oauth2/device
• OAuth2Options.DeviceAuthorization.VerificationURL: der Endpunkt-URL-Pfad für die Benutzerverifizierungsseite. Standard: /sgc/oauth2/device/verify
• OAuth2Options.DeviceAuthorization.ExpiresIn: die Lebensdauer des Device-Codes in Sekunden. Standard: 600 (10 Minuten).
• OAuth2Options.DeviceAuthorization.Interval: das minimale Abfrageintervall in Sekunden, das der Client beim Abfragen des Token-Endpunkts verwenden sollte. Standard: 5.