OAuth

Open AUTHorization : autorisation ouverte/libre.

Motivation

Autoriser un accès HTTP à ses ressources par une partie tierce, sans donner ses identifiants (credentials).

Analyse

OAuth vise à :

vérifier l'autorisation conférée au propriétaire de ressource
vérifier l'identité du client faisant une requête

OAuth définit différents rôles côté client et côté serveur, selon la version 1 ou 2 du protocole.

Conception

Au-delà du modèle architectural client/serveur qui définit :

une application cliente (front end ou consumer) qui n'est pas propriétaire de la resource mais peut agir au nom de ce dernier dès qu'il obtient un token d'autorisation ;
un serveur (back end, service provider) hébergeant des ressources protégées

OAuth définit un 3ᵉ rôle :

propriétaire de ressource (resource owner) ou "utilisateur final" (end user) vers qui on se tournera pour demander si un accès est autorisé, sans pour autant dévoiler son identité.

Il définit 2 processus :

une redirection par le user agent pour autoriser un client à accéder à des ressources ;
des requêtes HTTP authentifiant le client et le propriétaire de ressource ayant autorisé la requête

Implémentation

OAuth est rarement implémenté manuellement, mais intégré via des bibliothèques (côté client et serveur) ou des fournisseurs (Auth0 par ex) dédiés. Ces implémentations seront évidemment différentes selon la version OAuth supportée (1 ou 2).

Debugger

Notes

Stabilisé en octobre 2007, revisé en juin 2009 (révision A).

OpenID Connect étend OAuth 2.x en ajoutant des fonctionnalités standards d'identification.