Passer au contenu principal

Aperçu

Concepts clés
  • Découvrez le type d’octroi OAuth 2.0 Authorization Code Flow with Proof Key for Code Exchange (PKCE).
  • Utilisez ce type d’octroi pour les applications qui ne peuvent pas stocker de secret client, comme les applications natives ou monopage.
  • Découvrez différentes méthodes d’implémentation avec les SDK Auth0.
Lorsque des (par ex., les applications natives et monopage) demandent des , cela soulève des enjeux de sécurité supplémentaires que le seul flux Authorization Code n’atténue pas. En effet : Applications natives
  • Ne peuvent pas stocker de façon sécurisée un . La décompilation de l’application révélera le , qui est associé à l’application et est le même pour tous les utilisateurs et appareils.
  • Sont vulnérables aux attaques d’interception et d’injection de code d’autorisation. Sans secret client, un attaquant qui intercepte le code d’autorisation peut l’échanger contre des jetons.
  • Peuvent utiliser un schéma d’URL personnalisé pour intercepter les redirections (par ex., MyApp://), ce qui pourrait permettre à des applications malveillantes de recevoir un de votre . En raison de ce risque, Auth0 déconseille fortement l’utilisation de schémas d’URI personnalisés. Pour en savoir plus, consultez Measures Against Application Impersonation.
Applications monopage
  • Ne peuvent pas stocker de façon sécurisée un Secret client parce que l’intégralité de leur code source est accessible dans le navigateur.
Dans ces situations, fournit une version du flux Authorization Code qui utilise Proof Key for Code Exchange (PKCE) (définie dans OAuth 2.0 RFC 7636). Le flux Authorization Code amélioré par PKCE introduit un secret créé par l’application appelante qui peut être vérifié par le ; ce secret s’appelle le Code Verifier. De plus, l’application appelante crée une valeur dérivée du Code Verifier appelée Code Challenge et envoie cette valeur par HTTPS pour récupérer un Code d’autorisation. Ainsi, un attaquant malveillant ne peut intercepter que le Code d’autorisation et ne peut pas l’échanger contre un jeton sans le Code Verifier.

Fonctionnement

Comme le flux Authorization Code avec PKCE s’appuie sur le flux Authorization Code standard, les étapes sont très semblables.
Flux - Authorization Code avec PKCE - diagramme de séquence d’autorisation
  1. L’utilisateur clique sur Connexion dans l’application.
  2. Le SDK d’Auth0 crée un code_verifier aléatoire sur le plan cryptographique et génère à partir de celui-ci un code_challenge.
  3. Le SDK d’Auth0 redirige l’utilisateur vers le serveur d’autorisation Auth0 (point de terminaison /authorize) avec le code_challenge.
  4. Votre serveur d’autorisation Auth0 redirige l’utilisateur vers l’invite de connexion et d’autorisation.
  5. L’utilisateur s’authentifie à l’aide de l’une des options de connexion configurées et peut voir une page de consentement qui énumère les autorisations qu’Auth0 accordera à l’application.
  6. Votre serveur d’autorisation Auth0 stocke le code_challenge et redirige l’utilisateur vers l’application avec un code d’autorisation, valable pour une seule utilisation.
  7. Le SDK d’Auth0 envoie ce code et le code_verifier (créé à l’étape 2) au serveur d’autorisation Auth0 (/oauth/token point de terminaison).
  8. Votre serveur d’autorisation Auth0 vérifie le code_challenge et le code_verifier.
  9. Votre serveur d’autorisation Auth0 répond avec un jeton d’identité et un jeton d’accès (et, facultativement, un jeton d’actualisation).
  10. Votre application peut utiliser le jeton d’accès pour appeler une API afin d’accéder à des renseignements sur l’utilisateur.
  11. L’API renvoie les données demandées.
Si la rotation des Jetons d’actualisation est activée, un nouveau Jeton d’actualisation est généré à chaque requête et émis avec le Jeton d’accès. Lorsqu’un Jeton d’actualisation est échangé, le Jeton d’actualisation précédent est invalidé, mais l’information sur cette relation est conservée par le serveur d’autorisation.

Comment le mettre en œuvre

La façon la plus simple de mettre en œuvre le flux Authorization Code avec PKCE est de suivre nos guides de démarrage rapide pour applications natives ou nos guides de démarrage rapide pour applications monopage. Selon le type de votre application, vous pouvez aussi utiliser nos SDK mobiles ou pour applications monopage : Mobile Monopage
Les récentes avancées en matière de protection de la vie privée dans les navigateurs nuisent à l’expérience utilisateur en empêchant l’accès aux témoins tiers; par conséquent, les flux basés sur le navigateur doivent utiliser la rotation des jetons d’actualisation, qui offre une méthode sécurisée pour utiliser des jetons d’actualisation dans les SPA tout en fournissant aux utilisateurs finaux un accès fluide aux ressources, sans les perturbations de l’expérience utilisateur causées par des technologies de protection de la vie privée des navigateurs comme ITP.
Vous pouvez suivre nos tutoriels pour utiliser nos points de terminaison d’API afin d’ajouter l’ouverture de session à l’aide du flux Authorization Code avec PKCE ou d’appeler votre API à l’aide du flux Authorization Code avec PKCE.

Pour en savoir plus