Sujets : JHipster, OAuth, OIDC
13h40 - 14h25
Par Matt Raible (Okta). Merci !
La vidéo complète est en ligne sur la chaîne YouTube de Ippon Technologies.
Matt est développeur chez Okta (entreprise qui propose notamment des solutions d’authentification).
Pour l’authentification web, dans une authentification basique client/serveur, le serveur fait appel à un identity store pour valider les identifiants. Fédération d’identité avec un utilisateur qui communique avec SP et IDP. SAML 2.0 est un standard OASIS depuis 2005, un protocole de requête d’authentification. Basé sur XML (SOAP). “SAML = Web SSO”.
Se pose le problème de la délégation d’identité.
“OAuth c’est comme les cartes-clés des hôtels mais pour les applications.”
Matt présente les différents termes de la terminologie OAuth :
Il y a différents canaux de flow : front (du côté du navigateur entre le propriétaire de la ressource, le client et le serveur d’autorisation) et back (entre le serveur d’autorisation, le client et le serveur de ressource).
Il y a 6 flows différents, il faut donc se poser les bonnes questions.
Quelques ressources intéressantes :
Il y a des problèmes de sécurité communs avec OAuth 2.0 :
OAuth 2.0 n’est pas rétrocompatible avec OAuth 1.0 et ce n’est pas un protocole d’authentification. Avec OAuth 2.0 seul il n’y a pas de login et d’information à propos de l’utilisateur. Mais c’est devenu un protocole de pseudo-authentification devenu célèbre grâce à Facebook Connect et Twitter.
OpenID Connect est pour l’authentification. OAuth 2.0 est pour l’autorisation.
Open ID Connect <-> OAuth 2.0 <-> HTTP
Il y a aussi des flows et des tokens sur OIDC. Les tokens devraient être utilisés pour créer des sessions.
En complément :
Voir les posts de blog et vidéos de Matt sur JHipster.
Support du talk sur : https://speakerdeck.com/mraible/what-the-heck-are-oauth-and-oidc-jhipster-conf-2019