Algolia

    Qu'est-ce qu'un type d'autorisation (Grant Type) ?

    Contexte d'autorisation OAuth 2.0

    Dans le cadre de l'autorisation OAuth 2.0, le terme "Grant Type" (type d'autorisation) fait reference a la methode par laquelle une application obtient un token d'acces. Essentiellement, le type d'autorisation specifie le type de flux d'autorisation que l'application utilisera pour acceder aux donnees de l'utilisateur.

    Differents types d'autorisation dans OAuth 2.0

    OAuth 2.0 definit plusieurs types d'autorisation, adaptes a differents scenarios d'application :

    OAuth 2.0 avec LoadFocus

    1. Authorization Code :
    • Ideal pour : Les applications qui peuvent garder le secret client en securite, souvent des applications cote serveur.
    • Flux : L'utilisateur est d'abord redirige vers un serveur d'authentification. Apres une authentification reussie, il est redirige vers l'application avec un code d'autorisation. L'application echange ce code contre un token d'acces.
    1. Implicit :
    • Ideal pour : Les applications centrees sur l'agent utilisateur, comme les applications monopage.
    • Flux : Similaire au flux Authorization Code, mais le token d'acces est delivre directement sans code intermediaire. Il est considere comme moins securise que la methode Authorization Code.
    1. Password (Resource Owner Password Credentials) :
    • Ideal pour : Les applications hautement fiables, souvent detenues par la meme organisation que le serveur de ressources.
    • Flux : Les utilisateurs saisissent directement leur nom d'utilisateur et mot de passe dans l'application. L'application utilise ensuite ces identifiants pour obtenir un token d'acces. Ce flux est generalement deconseille sauf si le client est hautement fiable.
    1. Client Credentials :
    • Ideal pour : Les services ou applications qui doivent acceder a leurs propres ressources, pas celles d'un utilisateur.
    • Flux : L'application s'authentifie en utilisant ses propres identifiants (comme l'ID client et le secret) et obtient un token d'acces en retour.
    1. Device Code (pour les appareils sans navigateur complet) :
    • Ideal pour : Les appareils comme les TV connectees, les consoles de jeux ou les imprimantes.
    • Flux : L'appareil communique avec le serveur d'autorisation pour obtenir un code d'appareil et un code utilisateur. L'utilisateur saisit le code utilisateur sur un autre appareil (par exemple, un smartphone). Apres verification, l'appareil recoit un token d'acces.
    1. Refresh Token :
    • Utilisation : Ce n'est pas un flux autonome mais il complete d'autres types d'autorisation. Lorsque le token d'acces expire, un token de rafraichissement permet a l'application d'en obtenir un nouveau sans que l'utilisateur ait besoin de se reconnecter.

    Pourquoi les types d'autorisation sont-ils importants ?

    Les types d'autorisation offrent de la flexibilite pour differents contextes d'application. Chacun garantit que l'obtention du token d'acces est aussi securisee que possible, compte tenu des contraintes de l'application. Le choix du type d'autorisation affecte les interactions entre le client, l'utilisateur et le serveur d'autorisation, rendant sa selection correcte essentielle tant pour l'utilisabilite que pour la securite.

    Précédent
    Qu'est-ce que la duree dans les tests de charge
    Suivant
    Autorisation OAuth 2.0