Applications confidentielles et publiques

Selon la spécification OAuth 2.0, les applications peuvent être classées comme confidentielles ou publiques. La principale différence tient à la capacité de l’application à stocker en toute sécurité des identifiants (comme un et un secret). Cela a une incidence sur le type d’authentification que les applications peuvent utiliser.

Les classifications confidentielle/publique et de première partie/de tierce partie sont indépendantes. Confidentielle ou publique décrit la capacité d’authentification de l’application (c’est-à-dire si elle peut conserver un secret). De première partie ou de tierce partie décrit la relation de confiance (qui possède et exploite l’application). Pour en savoir plus, consultez Applications de première partie et applications tierces.

Lorsque vous créez une application dans l’Auth0 Dashboard, Auth0 vous demande quel type d’application Auth0 vous voulez attribuer à la nouvelle application et utilise cette information pour déterminer si l’application est confidentielle ou publique. Pour en savoir plus, consultez Vérifier si une application est confidentielle ou publique.

Applications confidentielles

Les applications confidentielles peuvent conserver des identifiants de manière sécurisée sans les exposer à des tiers non autorisés. Elles nécessitent un serveur backend de confiance pour stocker le ou les secrets.

Types d’octroi

Les applications confidentielles utilisent un serveur backend de confiance et peuvent utiliser des types d’octroi qui exigent la spécification de leur ID client et de leur (ou d’autres identifiants enregistrés) pour s’authentifier lors de l’appel au point de terminaison Get Token de l’Authentication API d’Auth0. Les applications confidentielles peuvent utiliser les méthodes d’authentification Client Secret Post, Client Secret Basic ou Private Key JWT. Sont considérées comme des applications confidentielles :

Une application web avec un serveur backend sécurisé qui utilise le flux de code d’autorisation, le flux de mot de passe du propriétaire de la ressource ou le flux de mot de passe du avec prise en charge du paramètre realm
Une application machine à machine (M2M) qui utilise le flux d’identification du client

ID tokens

Puisque les applications confidentielles peuvent conserver des secrets, vous pouvez obtenir des émis pour elles et signés de l’une des deux façons suivantes :

De façon symétrique, à l’aide de leur secret client (HS256)
De façon asymétrique, à l’aide d’une clé privée (RS256)

Applications publiques

Les applications publiques ne peuvent pas conserver des identifiants de manière sécurisée.

Types d’octroi

Les applications publiques ne peuvent utiliser que des types d’octroi qui n’exigent pas l’utilisation de leur secret client. Elles ne peuvent pas envoyer de secret client, car elles ne peuvent pas garantir la confidentialité des identifiants requis. Voici des applications publiques :

Une application native de bureau ou mobile qui utilise le flux de code d’autorisation avec PKCE
Une application Web côté client basée sur JavaScript (comme une application monopage) qui utilise l’octroi du flux implicite

ID tokens

Comme les applications publiques ne peuvent pas conserver de secrets, les ID tokens qui leur sont délivrés doivent être :

Signés de manière asymétrique à l’aide d’une clé privée (RS256)
Vérifiés à l’aide de la clé publique correspondant à la clé privée utilisée pour signer le jeton

Pour en savoir plus

Espaces réservés d’URL pour les sous-domaines

Vérifier si une application est confidentielle ou publique

​Applications confidentielles

​Types d’octroi

​ID tokens

​Applications publiques

​Types d’octroi

​ID tokens

​Pour en savoir plus

Applications confidentielles

Types d’octroi

ID tokens

Applications publiques

Types d’octroi

ID tokens

Pour en savoir plus