OAuth Server by DnC (OAuthSD) est un démonstrateur qui implémente OAuth 2.0 et OpenID Connect.

Avec OAuthSD, les mots de passe ne peuvent être interceptés au moment de leur saisie, ne circulent pas sur Internet, ne sont enregistrés nulle part !

PNG - 33.8 ko
Architecture d’OAuth Server by DnC

Avertissement : Ce serveur est un démonstrateur et un outil de développement, il peut être indisponible et les données enregistrées effacées à tout moment. Si vous êtes intéressé par une version de production de OAuthSD contactez DnC

Ce dont il s’agit : définition officielle de OAuth 2.0 commentée et Présentation
Mode d’emploi : Développeurs
Mise en œuvre : Gérer

Ce serveur d’authentification s’adresse aux développeurs et aux propriétaires de sites Web désireux de se protéger de la concurrence résultant du ciblage comportemental et du profilage de leurs clients et, par la même occasion, d’offrir à ces clients de ne pas confier aveuglément leurs données personnelles.

OAuthSD s’appuie sur la librairie OAuth 2.0 Server PHP développée par Brent Shaffer.

De façon exclusive, OAuth Server by DnC offre la possibilité d’établir une CloudSession pour permettre l’échange sécurisé de données entre applications et services Web.

DnC est une entreprise indépendante qui a pour politique de ne jamais exploiter ni communiquer les données collectées. En nous confiant l’authentification des connexions à vos applications, vous avez la certitude que la navigation de vos clients ne sera pas exploitée à des fins publicitaires adverses. Vous pourrez également vous prévaloir d’une politique de protection de leurs données personnelles.

Derniers articles :

Une fonction pour tout simplifier !


Du côté d’une application cliente, utiliser l’authentification OAuth pour interroger une API HTTP REST peut se réduire à une simple fonction.
Nous sommes dans le cas du flux Autorisation via un code (Authorization Code Grant).
Le diagramme ci-contre donne une idée simplifiée de la suite des échanges entre les 3 pôles d’un flux de type Autorisation via un code. La fonction ci-dessous correspond à la ligne "Client App". Le rafraîchissement du jeton d’accès qui apparait dans la code a été omis dans le (...)


OpenID Connect : Exemples complets du flux d’Autorisation via un code puis requête UserInfo


Les scripts testopenid testent le flux d’Autorisation via un code (Authorization Code Flow), et enchaînent sur une demande UserInfo, en ne laissant passer aucune erreur : tous les cas non conformes répertoriés dans cette documentation donneront lieu à l’affichage d’un message d’erreur.
Les deux méthodes de validation du JWT sont illustrées : Validation locale, Introspection.
Ces scripts ne sont pas conçu pour une application en production. Cependant, ils fournissent un flux complet que vous pourrez (...)


Validation du jeton d’accès par une ressource protégée


Un serveur de ressource protégé (RS) et, plus généralement, une application tierce, sont distincts de l’application cliente et du serveur d’autorisation (AS).
Il s’agit de définir comment un RS valide le jeton d’accès qui accompagne une requête de la part de l’application cliente.
Position du problème
Nous sommes ici au cœur du problème !
La norme OAuth 2.0 n’indique pas comment les serveurs de ressources (RS) qui reçoivent un jeton d’accès doivent procéder pour le valider.
La spécification OAuth 2.0, (...)


| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 15 |

Plan du site :

Présentation

Développeurs

Utilisateurs

Plus

Outils