Types d'octroi d'accès

L'étape la plus importante pour une application dans le flux OAuth est la façon dont l'application reçoit un jeton d'accès (et éventuellement un jeton d'actualisation). Un type d'octroi est le mécanisme utilisé pour extraire le jeton. OAuth définit plusieurs types d'octroi d'accès différents qui représentent différents mécanismes d'autorisation.

Les applications peuvent demander un jeton d'accès pour accéder aux adresses protégées de différentes manières, en fonction du type d'octroi indiqué dans l'application client. Un octroi est une information d'identification représentant l'autorisation du propriétaire de la ressource d'accéder à une ressource protégée. Les applications sécurisées (telles que les services back-end) peuvent demander des jetons d'accès directement au nom des utilisateurs. Il s'agit d'un flux d'autorisation OAuth à deux acteurs. Les applications Web OAuth doivent généralement d'abord valider l'identité de l'utilisateur et éventuellement obtenir son consentement. Il s'agit d'un flux d'autorisation OAuth à trois acteurs.

Par exemple, lorsque vous utilisez le type d'octroi Propriétaire de ressource, les informations d'identification de mot de passe du propriétaire de ressource (nom d'utilisateur et mot de passe) peuvent être utilisées directement comme autorisation d'obtention d'un jeton d'accès. Lorsque vous utilisez le type d'octroi Informations d'identification client, le client s'authentifie auprès du service OAuth, puis demande un jeton d'accès. Lors de l'utilisation de l'autorisation d'assertion, une assertion utilisateur est envoyée avec les informations client lors de la demande d'accès.