OAuth flux de code d\'autorisation

Le flux de code d\'autorisation est un protocole de sécurité utilisé dans OAuth 2.0 pour permettre à des applications tierces d\'accéder aux ressources d\'un utilisateur sans révéler ses infos d\'identification.

Dans ce flux, l\'application cliente redirige l\'utilisateur vers le serveur d\'autorisation, où il se connecte et approuve la demande d\'accès du client. Après approbation, le serveur d\'autorisation envoie un code d\'autorisation au client, qui l\'échange contre un jeton d\'accès et, éventuellement, un jeton d\'actualisation. Ce jeton d\'accès est ensuite utilisé pour envoyer des demandes autorisées au serveur de ressources au nom de l\'utilisateur.

Ce flux est couramment utilisé lorsqu\'un utilisateur souhaite accorder l\'accès à ses ressources (notamment des données ou des services) à une application tierce sans partager directement ses infos d\'identification.

La principale différence entre le flux de code d\'autorisation et le flux de code d\'autorisation avec PKCE (Proof Key for Code Exchange, soit Clé de preuve pour l\'échange de codes) réside dans les mécanismes de sécurité utilisés pour prévenir certaines attaques, notamment contre les applications mobiles et natives.

Dans le flux de code d\'autorisation standard, le client reçoit un code d\'autorisation une fois l\'utilisateur authentifié auprès du serveur d\'autorisation. Le client échange alors ce code contre un jeton d\'accès. Ce flux est toutefois vulnérable aux attaques par interception du code d\'autorisation, où un attaquant peut intercepter le code d\'autorisation et l\'utiliser pour obtenir un jeton d\'accès.

Le flux de code d\'autorisation avec PKCE ajoute une couche de sécurité supplémentaire en utilisant un secret généré dynamiquement, le vérificateur de code, pour authentifier la demande d\'autorisation. Cela le rend plus sécurisé, surtout dans des environnements où il est difficile de stocker en toute sécurité les secrets des clients, comme dans les applications mobiles ou natives.

Pour créer un type de privilège à l\'aide du flux de code d\'autorisation :

Procédure

  1. Effectuez les étapes 1 à 6 de Créer OAuth une connexion.
  2. Sélectionnez le type d\'octroi comme Flux de code d\'autorisation ou Flux de code d\'autorisation avec PKCE pour séparer l\'authentification de l\'utilisateur de l\'émetteur du jeton. Cela améliore la sécurité car le type de subvention prend en charge les jetons d\'actualisation pour un accès longue durée sans exposer les informations d\'identification sensibles. Vérifiez les autorisations suivantes lorsque vous utilisez Flux de code d\'autorisation avec le package Microsoft 365 Outlook : Reportez-vous à la rubrique Autorisations pour l'application.
    • Mail.Read
    • Mail.ReadWrite
    • Mail.Envoyer
    • MailboxSettings.Read
    • MailboxSettings.ReadWrite
    • offline_access
    • openid
    • Utilisateur.Lire
    • User.ReadBasic.All
    Vous devez utiliser la méthode d\'authentification Client Secret Post en parallèle avec le type d\'octroi Authorization Code Flow avec PKCE, sinon vous obtiendrez une erreur de validation.
  3. Complétez les étapes 8-18 de Créer OAuth une connexion.