OAuth 2.0
Qu'est-ce que OAuth 2.0 ?
OAuth 2.0Cadre ouvert d'autorisation permettant au propriétaire d'une ressource d'accorder à une application tierce un accès limité à une API sans partager d'identifiants.
OAuth 2.0 sépare le propriétaire de la ressource (utilisateur), le client (application), le serveur d'autorisation (émet les jetons) et le serveur de ressources (héberge l'API). Le client obtient un jeton d'accès via un flux défini — code d'autorisation avec PKCE pour les applications interactives, client credentials pour les appels service-à-service, device code pour les appareils sans entrée — puis appelle l'API en présentant ce jeton, généralement en bearer. Les scopes et l'audience délimitent ce que le jeton autorise. OAuth 2.0 est la base d'OpenID Connect, de l'accès aux API cloud et des boutons « Connexion avec… ». Les pièges classiques incluent l'usage du flux implicit, l'absence de PKCE, une validation laxiste des redirect URI ou un stockage non sécurisé des jetons.
● Exemples
- 01
Une application mobile obtient un jeton via authorization code + PKCE pour appeler une API bancaire.
- 02
Un service backend utilise client credentials pour publier des événements vers une API tierce.
● Questions fréquentes
Qu'est-ce que OAuth 2.0 ?
Cadre ouvert d'autorisation permettant au propriétaire d'une ressource d'accorder à une application tierce un accès limité à une API sans partager d'identifiants. Cette notion relève de la catégorie Identité et accès en cybersécurité.
Que signifie OAuth 2.0 ?
Cadre ouvert d'autorisation permettant au propriétaire d'une ressource d'accorder à une application tierce un accès limité à une API sans partager d'identifiants.
Comment se défendre contre OAuth 2.0 ?
Les défenses contre OAuth 2.0 combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de OAuth 2.0 ?
Noms alternatifs courants : OAuth2.