HTTP | OAuth2

OAuth2 consente ad applicazioni di terze parti di ricevere accesso limitato a un servizio HTTP, sia per conto di un proprietario della risorsa sia consentendo a un'applicazione di terze parti di ottenere accesso per proprio conto. Grazie a OAuth2, i fornitori di servizi e le applicazioni consumer possono interagire tra loro in modo sicuro.

 

In OAuth2, ci sono 4 ruoli:

 

• Resource Owner: l'utente.

• Resource Server: il server che ospita le risorse protette e ne consente l'accesso in base al token di accesso.

• Client: l'applicazione esterna che richiede l'autorizzazione.
• Authorization Server: emette l'access token dopo aver autenticato l'utente.

 

 

 

Componenti

• TsgcHTTP_OAuth2_Client: è un client con supporto per OAuth2, in grado di connettersi a server OAuth2 per richiedere un'autenticazione come Google, Facebook...

• TsgcHTTP_OAuth2_Server: è l'implementazione server del protocollo OAuth2, consente di proteggere le risorse del Server.
• TsgcHTTP_OAuth2_Server_Provider: consente di implementare Provider OAuth2 esterni (come Azure AD, Google, Facebook...) nel suo Server, in modo che l'utente possa effettuare il login usando le credenziali utente di Azure, Google, Facebook...

 

I componenti OAuth2 Server e Client supportano PKCE (Proof Key for Code Exchange), che è un'estensione al flusso Authorization Code per prevenire attacchi CSRF e iniezione del codice di autorizzazione (RFC 7636).