« OAuth » : différence entre les versions

Navigation interactive dans l’historique

← Modification précédente Modification suivante →

Contenu supprimé Contenu ajouté

Intégrés

Version du 8 septembre 2020 à 17:53

Cet article est une ébauche concernant la sécurité informatique.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

OAuth est un protocole libre, créé par Blaine Cook et Chris Messina. Il permet d'autoriser un site web, un logiciel ou une application (dite « consommateur ») à utiliser l'API sécurisée d'un autre site web (dit « fournisseur ») pour le compte d'un utilisateur. OAuth n'est pas un protocole d'authentification, mais de « délégation d'autorisation ».

OAuth permet aux utilisateurs de donner, au site ou logiciel « consommateur », l'accès à des informations personnelles provenant du site « fournisseur » de service ou de données, ceci tout en protégeant le pseudonyme et le mot de passe des utilisateurs. Par exemple, un site de manipulation de vidéos pourra éditer les vidéos enregistrées sur Dailymotion d'un utilisateur des deux sites, à sa demande.

La partie principale de ce protocole, OAuth Core 1.0, a été finalisée le 3 octobre 2007.

Histoire

OAuth a commencé en novembre 2006, alors que Blaine Cook implémentait OpenID pour Twitter. Avec Chris Messina, ils rencontrèrent David Recordon et Larry Halff pour discuter de la possibilité d'utiliser OpenID et l'API de Twitter pour déléguer l'authentification. Ils conclurent qu'il n'y avait pas de standard ouvert pour la délégation d'accès par API.

Un groupe de travail a été créé en avril 2007 pour rédiger un premier jet de proposition pour un protocole ouvert. DeWitt Clinton de Google fut informé du projet OAuth et affirma sa volonté de soutenir le standard. En juillet 2007, l'équipe rédigea les premières spécifications à l'état de Draft (brouillon). Le 3 octobre 2007, la version OAuth Core 1.0 était publiée.

Le 24 juin 2009, la version OAuth Core 1.0a venait corriger une faille de sécurité.

En avril 2010, la RFC 5849 standardise OAuth 1.0a.

En octobre 2012, les RFC 6749 et RFC 6750 standardisent OAuth 2.0.

Mode de fonctionnement

OAuth dans sa version 2.0^[1] repose sur des échanges entre quatre acteurs. Le resource owner (utilisateur) est capable d’accorder l’accès à la ressource pour une application client. L’authorization server occupe le rôle central au sein du protocole, il est chargé d’authentifier le resource owner et de délivrer son autorisation sous la forme d’un jeton appelé access token. Le resource server quant à lui correspond au serveur où sont stockées les ressources protégées^[2].

Notes et références

↑ « OAuth 2.0 — OAuth », sur oauth.net (consulté le 8 septembre 2020)
↑ « Sécurisez l’accès à vos APIs avec OAuth2 », sur Nexworld, 12 juillet 2018 (consulté le 26 février 2020).

Voir aussi

Articles connexes

Liens externes

(en) Site officiel
(en) DataPortability.org
(en) Guide du débutant
(en) Tutoriel : Surveillance d'un système Linux en temps réel sur Twitter avec sécurité OAuth

Portail de la sécurité informatique

[1] « OAuth 2.0 — OAuth », sur oauth.net (consulté le 8 septembre 2020)

[2] « Sécurisez l’accès à vos APIs avec OAuth2 », sur Nexworld, 12 juillet 2018 (consulté le 26 février 2020).

[1]

[2]

@@ Ligne 19 : / Ligne 19 : @@
 == Mode de fonctionnement ==
-{{Quoi|OAuth2|date=avril 2020}} repose sur des échanges entre quatre acteurs. Le ''{{lang|en|resource owner}}'' (utilisateur) est capable d’accorder l’accès à la ressource pour une application ''client''. L’''{{lang|en|authorization server}}'' occupe le rôle central au sein du protocole, il est chargé d’authentifier le ''{{lang|en|resource owner}}'' et de délivrer son autorisation sous la forme d’un jeton appelé ''{{lang|en|access token}}''. Le ''{{lang|en|resource server}}'' quant à lui correspond au serveur où sont stockées les ressources protégées<ref>{{Lien web|langue=fr-FR |titre=Sécurisez l’accès à vos APIs avec OAuth2 |url=https://nexworld.fr/securiser-api-oauth2/|site=Nexworld |date=2018-07-12 |consulté le=2020-02-26}}.</ref>.
+OAuth dans sa version 2.0<ref>{{Lien web |titre=OAuth 2.0 — OAuth |url=https://oauth.net/2/ |site=oauth.net |consulté le=2020-09-08}}</ref> repose sur des échanges entre quatre acteurs. Le ''{{lang|en|resource owner}}'' (utilisateur) est capable d’accorder l’accès à la ressource pour une application ''client''. L’''{{lang|en|authorization server}}'' occupe le rôle central au sein du protocole, il est chargé d’authentifier le ''{{lang|en|resource owner}}'' et de délivrer son autorisation sous la forme d’un jeton appelé ''{{lang|en|access token}}''. Le ''{{lang|en|resource server}}'' quant à lui correspond au serveur où sont stockées les ressources protégées<ref>{{Lien web|langue=fr-FR |titre=Sécurisez l’accès à vos APIs avec OAuth2 |url=https://nexworld.fr/securiser-api-oauth2/|site=Nexworld |date=2018-07-12 |consulté le=2020-02-26}}.</ref>.
 == Notes et références ==