An open protocol to allow secure authorization in a simple and standard method from web, mobile and desktop applications.

http://oauth.net/

Voir aussi : Single Sign-On

• Comprendre le framework OAuth 2.0 et les roles et mécanismes en jeu durant le processus d'autorisation

Diagram source from postman.com.

• OAuth 2.0 Implicit Grant
• GitLab OAuth 2.0 Implicit Grant

Implicit flow n'est pas sécurisé car le token est passé dans l'url et peut donc être volé. Il faut donc éviter de l'utiliser ou au pire seulement pour accéder au profile de l'utilisateur identifié. Public clients such as native apps and JavaScript apps should now use the authorization code flow with the PKCE extension instead.

• Why you should stop using the OAuth implicit grant!

J'ai fait un PoC là: https://git.artefacts.coop/Cyrille37/sso-oauth-implicit-grant

Diagram source from postman.com.

Proof Key for Code Exchange (PKCE).

OAuth 2.0: Implicit Flow is Dead, Try PKCE Instead

Diagram source from postman.com.

Token Introspection

https://stackoverflow.com/questions/12296017/how-to-validate-an-oauth-2-0-access-token-for-a-resource-server

Question “What about oauth "introspection" ?” posée sur le Github de SocialiteProviders et sur flutter_appauth ainsi que sur StackOverFlow.

• Documentation: https://dev.twitter.com/oauth/overview
• Developper applications settings: https://apps.twitter.com/
• OAuth urls:
  • App-only authentication https://api.twitter.com/oauth2/token
  • Request token URL https://api.twitter.com/oauth/request_token
  • Authorize URL https://api.twitter.com/oauth/authorize
  • Access token URL https://api.twitter.com/oauth/access_token
• Account verify credentials https://api.twitter.com/1.1/account/verify_credentials.json

Apple est moins couramment utilisé, peut être à cause de ses spécificités

• Guide to Implementing Apple OAuth 2.0(Sign in with Apple)
• Introduction à l’authentification unique avec des appareils Apple

To use Apple sign in, you need a client ID and client secret. You can get them from the Apple Developer Portal / Auth Keys.

• https://www.better-auth.com/docs/authentication/apple

To access LinkedIn APIs, a developer app should be created in the LinkedIn’s developer page.

For Individual Developers: API products available to individual developers have a default Company page associated with them and you must select that default Company page to proceed.

Documentation :

• Discovery url : https://www.linkedin.com/oauth/.well-known/openid-configuration
• Token Introspection : https://learn.microsoft.com/en-us/linkedin/shared/authentication/token-introspection?tabs=http
• https://learn.microsoft.com/en-us/linkedin/consumer/integrations/self-serve/sign-in-with-linkedin-v2
• Authenticating with OAuth 2.0 for Native Clients (use loopback IP listener)

• exemple pour le web (url redirect) : https://dev.to/fardinabir/fetching-linkedin-user-data-and-sign-in-with-linkedin-using-openid-connect-3kf

• http://oauth.net/code/

Other tools:

• OAuth2 Proxy A reverse proxy and static file server that provides authentication using Providers (Google, GitHub, and others) to validate accounts by email, domain or group with Nginx, Caddy or Traefik

• PHP OAuth API on phpclasses.org: package, blog
• Laravel : Social Login In Laravel Via Api With Socialite

3 acteurs: l'App Mobile pour consommer, Le Site/API pour servir et le Fournisseur Tiers pour l'authentification.

On trouve des exemples avec Laravel Socialite pour le site et un package OAuth dans l'App mobile. Mais le site ne vérifie pas la validité du token fourni par l'App Mobile, qui l'a obtenue depuis le fournisseur tiers …

• Three ways to using Laravel Socialite
• https://api-platform.com/docs/laravel/