HTTP | OAuth2

OAuth2 permet aux applications tierces de recevoir un accès limité à un service HTTP, soit au nom d'un propriétaire de ressource, soit en permettant à une application tierce d'obtenir un accès en son propre nom. Grâce à OAuth2, les fournisseurs de services et les applications consommatrices peuvent interagir de manière sécurisée.

 

Dans OAuth2, il y a 4 rôles :

 

• Propriétaire de la ressource : l'utilisateur.

• Serveur de ressources : le serveur qui héberge les ressources protégées et en fournit l'accès en fonction du jeton d'accès.

• Client : l'application externe qui demande l'autorisation.
• Serveur d'autorisation : émet le jeton d'accès après avoir authentifié l'utilisateur.

 

 

 

Composants

• TsgcHTTP_OAuth2_Client : est un client avec support OAuth2, il peut donc se connecter à des serveurs OAuth2 pour demander une authentification comme Google, Facebook...

• TsgcHTTP_OAuth2_Server : est l'implémentation serveur du protocole OAuth2 ; elle permet de protéger les ressources du serveur.
• TsgcHTTP_OAuth2_Server_Provider : permet d'implémenter des fournisseurs OAuth2 externes (comme Azure AD, Google, Facebook...) dans votre serveur, afin que l'utilisateur puisse se connecter en utilisant les identifiants Azure, Google, Facebook...

 

Les composants OAuth2 Serveur et Client prennent en charge PKCE (Proof Key for Code Exchange), une extension du flux Authorization Code pour prévenir les attaques CSRF et par injection de code d'autorisation (RFC 7636).