Bonjour,
Meilleurs voeux et bonne année 2018 à toutes et à tous. La santé avant tout et surtout
Nous tentons de comprendre l'implémentation oAuth2 de l'un de nos prestataires pour vérifier que cela correspond aux standards, avec difficultés.
Le contexte est le suivant :
- Application de type service desk avec exposition des APIs pour la création d'une demande, l'obtention de la liste des demandes
- Authentification par Google oAuth 2.0 (mode Corporate)
- Application de type portail qui permet d'avoir différentes informations et la possibilité de créer une demande et de lister les demandes au travers des APIs exposées de l'application service desk
Les échanges avec les APIs exposées de l'application de Service Desk se font au travers d'un compte technique.
Pour le moment, cela se fait de la manière suivante :
- l'application portail envoie une requête au serveur de ressource avec un access token
- Le sereur de ressources vérifie auprès du serveur d'authentification si l'acces token est valide (non expiré, déclaré)
- Si l'access token est validé, le serveur de ressource vérifie si le client_id transmis dans la requête est bien déclaré dans un fichier de paramétrage local à l'application (liste des client_id autorisés). Cela se fait au travers d'un JWT
- Si tout est validé, le serveur de ressources délivre les données demandées
Je n'explique pas pour le moment la seconde proposition qui est plus compliquée
Un point sur lequel je ne suis pas du tout à l'aise est comment je valide auprès de mon serveur d'autorisation (Google en l'occurence) que l'accès demandé à mon serveur de ressources (application service desk) au travers des APIs exposées est autorisée (access token valide, accès au serveur de ressource autorisée sur le scope demandé) ? Car n'importe qui peut générer un access token sur Google. Alors ok, il y a le fichier de paramétrage qui permet de vérifier si le client_id est bine déclaré et autorisé, mais est-ce assez solide ?
Bref, j'avoue être perdu entre la complexité de ce protocole, le scénario, et les propositions.
Merci pour votre aide
Partager