Enregistrement du client
Avant qu'une application puisse participer à des flux de type subvention OAuth, elle doit être enregistrée auprès du serveur d'autorisation OAuth en tant que client OAuth. Lors de cet enregistrement, l'application se voit attribuer un identifiant de client ou client_id et (éventuellement) un client_secret. Ils sont utilisés lors de l'appel des points de terminaison OAuth.
Un client OAuth confidentiel est doté d'un identifiant (client_id) et d'un secret (client_secret). Cela signifie qu'il peut s'authentifier auprès du serveur d'autorisation OAuth lors des demandes de jetons. Une application enregistrée en tant que client OAuth confidentiel doit être en mesure de conserver le secret du client. Cela signifie généralement que l'application fonctionne sur une infrastructure côté serveur.
Un client OAuth public est fourni avec seulement un identifiant de client. Une application est généralement enregistrée en tant que client OAuth public qui n'a pas accès au stockage sécurisé. C'est généralement le cas lorsque l'application s'exécute sur une infrastructure côté client, par exemple sur un appareil mobile ou en tant qu'"application à page unique" dans un navigateur.
Certaines fonctionnalités d'OAuth ne sont pas disponibles pour les clients publics d'OAuth. Il s'agit d'opérations qui reposent sur une authentification sûre du client pour maintenir la sécurité du système.
Jon Harry, IBM Security
Updated about 1 month ago