OAuth

An open protocol to allow secure authorization in a simple and standard method from web, mobile and desktop applications.

http://oauth.net/

Voir aussi : Single Sign-On

OAuth flows

Implicit flow

Image source https://blog.postman.com/pkce-oauth-how-to

Diagram source from postman.com.

Implicit flow n'est pas sécurisé car le token est passé dans l'url et peut donc être volé. Il faut donc éviter de l'utiliser ou au pire seulement pour accéder au profile de l'utilisateur identifié.

Why you should stop using the OAuth implicit grant!

J'ai fait un PoC là: https://git.artefacts.coop/Cyrille37/sso-oauth-implicit-grant

Authorization code flow

Diagram source from postman.com.

Authorization code flow with PKCE

OAuth 2.0: Implicit Flow is Dead, Try PKCE Instead

Diagram source from postman.com.

Providers

Twitter

Documentation: https://dev.twitter.com/oauth/overview
Developper applications settings: https://apps.twitter.com/
OAuth urls:
- App-only authentication https://api.twitter.com/oauth2/token
- Request token URL https://api.twitter.com/oauth/request_token
- Authorize URL https://api.twitter.com/oauth/authorize
- Access token URL https://api.twitter.com/oauth/access_token
Account verify credentials https://api.twitter.com/1.1/account/verify_credentials.json

API

http://oauth.net/code/

PHP

PHP OAuth API on phpclasses.org: package, blog