An open protocol to allow secure authorization in a simple and standard method from web, mobile and desktop applications.

http://oauth.net/

Voir aussi : Single Sign-On

Diagram source from postman.com.

• OAuth 2.0 Implicit Grant
• GitLab OAuth 2.0 Implicit Grant

Implicit flow n'est pas sécurisé car le token est passé dans l'url et peut donc être volé. Il faut donc éviter de l'utiliser ou au pire seulement pour accéder au profile de l'utilisateur identifié.

• Why you should stop using the OAuth implicit grant!

J'ai fait un PoC là: https://git.artefacts.coop/Cyrille37/sso-oauth-implicit-grant

Diagram source from postman.com.

OAuth 2.0: Implicit Flow is Dead, Try PKCE Instead

Diagram source from postman.com.

• Documentation: https://dev.twitter.com/oauth/overview
• Developper applications settings: https://apps.twitter.com/
• OAuth urls:
  • App-only authentication https://api.twitter.com/oauth2/token
  • Request token URL https://api.twitter.com/oauth/request_token
  • Authorize URL https://api.twitter.com/oauth/authorize
  • Access token URL https://api.twitter.com/oauth/access_token
• Account verify credentials https://api.twitter.com/1.1/account/verify_credentials.json

• http://oauth.net/code/

• PHP OAuth API on phpclasses.org: package, blog