F5 APM - OAuth Access Token
Il y a deux semaines j’ai écrit sur Fédération OAuth où j’ai expliqué la terminologie OAuth et le composants de cette norme. De plus, j’ai enregistré une vidéo où vous pouvez regarder comment on peut configurer un serveur d’autorisation avec F5 APM et comment on peut émettre des jetons d’accès. Aujourd’hui, je vais écrire des types d’autorisation d’accès configurables dans F5 APM où je vais aussi enregistrer une vidéo avec des configurations en F5 APM.
Un octroi d'autorisation est un identifiant utilisé par le client pour obtenir un jeton d'accès. Les informations d'identification représentent l'autorisation du propriétaire de la ressource d'accéder à ses ressources protégées. F5 APM prend en charge les types de baux suivants.
Code d'autorisation : cette autorisation est optimisée pour les applications côté serveur qui peuvent maintenir la confidentialité du client (ID client/secret client). Le client redirige le RO vers un AS, qui à son tour redirige le RO vers le client avec le code d'autorisation. Les informations d'identification RO ne sont jamais exposées à l'application cliente. La vidéo que j’ai enregistrée il y a deux semaines utilise ce type de consentement.
Un octroi d'autorisation est un identifiant utilisé par le client pour obtenir un jeton d'accès. Les informations d'identification représentent l'autorisation du propriétaire de la ressource d'accéder à ses ressources protégées. F5 APM prend en charge les types de baux suivants.
Code d'autorisation : cette autorisation est optimisée pour les applications côté serveur qui peuvent maintenir la confidentialité du client (ID client/secret client). Le client redirige le RO vers un AS, qui à son tour redirige le RO vers le client avec le code d'autorisation. Les informations d'identification RO ne sont jamais exposées à l'application cliente. La vidéo que j’ai enregistrée il y a deux semaines utilise ce type de consentement.
Code d'autorisation |
Octroi implicite : Cette autorisation est utilisée pour les applications mobiles et Web qui ne peuvent pas garantir la confidentialité du client (ID client/secret client). Au lieu d'émettre un code d'autorisation au client, l'application envoie directement au client un jeton d'accès. L'URI de redirection utilisé pour fournir le jeton d'accès au client vérifie l'identité du client. L'AS n'authentifie pas le client.
Octroi implicite |
Resource Owner Password Credential Grant (ROPC) : les utilisateurs fournissent leurs informations d'identification directement à l'application cliente, qui les utilise pour obtenir un jeton d'accès auprès du service. Vous ne devez utiliser cette autorisation que lorsque l'application est approuvée par l'utilisateur, par exemple lorsque le service est propriétaire de l'application cliente ou est le système d'exploitation du poste de travail de l'utilisateur.
ROPC |
Ci-dessous, vous pouvez regarder une vidéo où j’ai configuré F5 APM pour émettre des jetons d’access de type ROPC. D’abord, je reçois un jeton via la console, et ensuite, via l’application Postman.
Quel type d'accès configurez-vous habituellement ?
Commentaires
Enregistrer un commentaire