Comprendre Oauth 2.0: Qui remet le jeton d'accès à votre navigateur Web?

Plongez dans les subtilités du flux de code d'autorisation OAuth 2.0 et découvrez comment les jetons d'accès sont gérés. Ce guide clarifiera comment votre navigateur Web interagit avec les jetons d'accès. --- Cette vidéo est basée sur la question https://stackoverflow.com/q/70335208/ a demandé par l'utilisateur 'kid_learning_c' (https://stackoverflow.com/u/3703783/) et sur la réponse https://stackoverflow.com/a/70349680/ a fourni par l'utilisateur 'Michal Trojanwiwi'. https://stackoverflow.com/u/1712294/) sur le site Web «Stack Overflow». Merci à ces grands utilisateurs et à la communauté StacKExchange pour leurs contributions. Visitez ces liens pour le contenu original et plus de détails, tels que des solutions alternatives, les dernières mises à jour / développements sur le sujet, les commentaires, l'historique de révision, etc. Par exemple, le titre original de la question était: OAuth 2.0: Dans le flux de code d'autorisation, qui remet finalement le jeton d'accès à mon navigateur Web? De plus, le contenu (sauf la musique) sous licence CC BY-SA https://meta.stackexchange.com/help/licensing Le message de question d'origine est sous licence de la licence «CC BY-SA 4.0» (https://creativecomons.org/licenses/by-sa/4.0/) et la licence de réponse originale est licensée sous la licence «CC par sa 4.0», et la licence de réponse originale est licene https://creativecommons.org/licenses/by-sa/4.0/) Licence. Si quelque chose vous semble, n'hésitez pas à m'écrire chez vlogize [at] gmail [dot] com. --- Comprendre OAuth 2.0: Qui remet le jeton d'accès à votre navigateur Web? Dans le monde des applications Web, la sécurisation des informations des utilisateurs tout en fournissant un accès transparent est une priorité. C'est là que OAuth 2.0 entre en jeu, en particulier son flux de code d'autorisation. Mais vous êtes-vous déjà demandé qui remet exactement le jeton d'accès à votre navigateur Web pendant ce processus? Décomposons cela étape par étape. Qu'est-ce que OAuth 2.0? OAuth 2.0 est un cadre qui permet aux applications tierces d'obtenir un accès limité aux données d'un utilisateur sans exposer les informations d'identification de l'utilisateur. Il le fait grâce à divers types de subventions, qui sont des méthodes pour obtenir un jeton d'accès. Le flux de code d'autorisation est une de ces méthodes, principalement utilisée par les applications Web. Le flux de code d'autorisation a expliqué l'étape 1: Demande d'autorisation L'utilisateur initie une demande d'accéder à une ressource protégée par le serveur d'autorisation. L'utilisateur est redirigé vers le serveur d'autorisation où il s'authentifie. Après l'authentification, le serveur d'autorisation redirige vers l'application avec un code d'autorisation. Étape 2: Échange de jetons Le navigateur Web reçoit le code d'autorisation et l'envoie au backend de l'application. L'application backend envoie ensuite une demande au point de terminaison du serveur d'autorisation / OAuth / token pour échanger le code d'autorisation contre un jeton d'accès. Étape 3: Établissement de la session utilisateur Une fois que l'application reçoit le jeton d'accès du serveur d'autorisation, il peut établir une session utilisateur dans le navigateur Web. Ceci est crucial car il différencie un utilisateur d'un autre et maintient leurs sessions respectives dans l'application. Le navigateur obtient-il le jeton d'accès? Voici la clarification pivot: le navigateur n'a pas besoin du jeton d'accès lui-même. Ceci est fondamentalement différent du flux implicite, où le jeton est envoyé directement au navigateur pour être utilisé pour les demandes ultérieures. Dans ce flux de code, les processus sont gérés du côté serveur, isolant les jetons d'accès à partir de la manipulation directe du navigateur. Pourquoi le navigateur n'utilise-t-il pas le jeton d'accès? Les navigateurs ne peuvent pas gérer les jetons: les navigateurs Web, par conception, ne comprennent pas ou ne gérent pas les jetons d'accès de la même manière qu'ils gèrent les cookies ou autres identifiants de session. Gestion de session: Au lieu de compter sur le jeton pour l'interaction, l'application utilise des sessions pour garder une trace de l'authentification et de l'autorisation des utilisateurs. Le rôle de la gestion de session Lorsque votre application reçoit le jeton d'accès, il devrait idéalement créer une session pour l'utilisateur connecté dans le contexte du navigateur. Cela signifie que chaque fois que l'utilisateur interagit avec l'application, les autorisations nécessaires sont gérées par le biais de cette session plutôt que d'obliger le jeton réel pour accompagner chaque demande. Points clés à retenir: l'application gère en toute sécurité les jetons d'accès et les utilise pour authentifier les appels d'API. Si l'objectif principal est d'authentifier simplement les utilisateurs, la gestion traditionnelle des sessions peut suffire au lieu d'implémenter pleinement OAuth. Conclusion Comprendre le comportement d'OAuth 2.0 en conjonction avec la façon dont les sessions utilisateur sont gérées permet aux développeurs et aux utilisateurs de saisir les pratiques de sécurité fondamentales dans les applications Web. En conclusion, bien que l'application gère le jeton d'accès, il est essentiel d'avoir une gestion efficace de session en place pour garantir que les utilisateurs peuvent interagir avec l'application sans exposer les jetons sensibles directement dans leurs navigateurs. Cela améliore la sécurité et l'expérience utilisateur. En démystifiant le parcours du jeton d'accès à travers le flux de code d'autorisation, vous pouvez mieux sécuriser les interactions de votre application avec les utilisateurs, tous