Aller au contenu principal

12. Références (References)

12.1. Références normatives

[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, mars 1997.

[RFC2246] Dierks, T. et C. Allen, "The TLS Protocol Version 1.0", RFC 2246, janvier 1999.

[RFC2616] Fielding, R., Gettys, J., Mogul, J., Frystyk, H., Masinter, L., Leach, P., et T. Berners-Lee, "Hypertext Transfer Protocol -- HTTP/1.1", RFC 2616, juin 1999.

[RFC2617] Franks, J., Hallam-Baker, P., Hostetler, J., Lawrence, S., Leach, P., Luotonen, A., et L. Stewart, "HTTP Authentication: Basic and Digest Access Authentication", RFC 2617, juin 1999.

[RFC2818] Rescorla, E., "HTTP Over TLS", RFC 2818, mai 2000.

[RFC3629] Yergeau, F., "UTF-8, a transformation format of ISO 10646", STD 63, RFC 3629, novembre 2003.

[RFC3986] Berners-Lee, T., Fielding, R., et L. Masinter, "Uniform Resource Identifier (URI): Generic Syntax", STD 66, RFC 3986, janvier 2005.

[RFC4627] Crockford, D., "The application/json Media Type for JavaScript Object Notation (JSON)", RFC 4627, juillet 2006.

[RFC4949] Shirey, R., "Internet Security Glossary, Version 2", RFC 4949, août 2007.

[RFC5226] Narten, T. et H. Alvestrand, "Guidelines for Writing an IANA Considerations Section in RFCs", BCP 26, RFC 5226, mai 2008.

[RFC5234] Crocker, D. et P. Overell, "Augmented BNF for Syntax Specifications: ABNF", STD 68, RFC 5234, janvier 2008.

[RFC5246] Dierks, T. et E. Rescorla, "The Transport Layer Security (TLS) Protocol Version 1.2", RFC 5246, août 2008.

[RFC6125] Saint-Andre, P. et J. Hodges, "Representation and Verification of Domain-Based Application Service Identity within Internet Public Key Infrastructure Using X.509 (PKIX) Certificates in the Context of Transport Layer Security (TLS)", RFC 6125, mars 2011.

[USASCII] American National Standards Institute, "Coded Character Set -- 7-bit American Standard Code for Information Interchange", ANSI X3.4, 1986.

[W3C.REC-html401-19991224] Raggett, D., Le Hors, A., et I. Jacobs, "HTML 4.01 Specification", W3C Recommendation REC-html401-19991224, décembre 1999, http://www.w3.org/TR/1999/REC-html401-19991224.

[W3C.REC-xml-20081126] Bray, T., Paoli, J., Sperberg-McQueen, C., Maler, E., et F. Yergeau, "Extensible Markup Language (XML) 1.0 (Fifth Edition)", W3C Recommendation REC-xml-20081126, novembre 2008, http://www.w3.org/TR/2008/REC-xml-20081126.

12.2. Références informatives

[OAuth-HTTP-MAC] Hammer-Lahav, E., Ed., "HTTP Authentication: MAC Access Authentication", Work in Progress, février 2012.

[OAuth-SAML2] Campbell, B. et C. Mortimore, "SAML 2.0 Bearer Assertion Profiles for OAuth 2.0", Work in Progress, septembre 2012.

[OAuth-THREATMODEL] Lodderstedt, T., Ed., McGloin, M., et P. Hunt, "OAuth 2.0 Threat Model and Security Considerations", Work in Progress, octobre 2012.

[OAuth-WRAP] Hardt, D., Ed., Tom, A., Eaton, B., et Y. Goland, "OAuth Web Resource Authorization Profiles", Work in Progress, janvier 2010.

[RFC5849] Hammer-Lahav, E., "The OAuth 1.0 Protocol", RFC 5849, avril 2010.

[RFC6750] Jones, M. et D. Hardt, "The OAuth 2.0 Authorization Framework: Bearer Token Usage", RFC 6750, octobre 2012.

Appendix A. Syntaxe ABNF (Augmented Backus-Naur Form)

Cette section fournit les descriptions de syntaxe ABNF des éléments définis dans cette spécification, en utilisant la notation de [RFC5234]. L'ABNF ci-dessous est défini en termes de points de code Unicode [W3C.REC-xml-20081126], généralement encodés en UTF-8. Les éléments sont présentés dans l'ordre de leur première définition. Certaines définitions utilisent la définition "URI-reference" de [RFC3986].

Définitions communes:

VSCHAR     = %x20-7E
NQCHAR = %x21 / %x23-5B / %x5D-7E
NQSCHAR = %x20-21 / %x23-5B / %x5D-7E
UNICODECHARNOCRLF = %x09 /%x20-7E / %x80-D7FF /
%xE000-FFFD / %x10000-10FFFF

La définition UNICODECHARNOCRLF est fondée sur la définition Char de la section 2.2 de [W3C.REC-xml-20081126], en omettant les caractères Carriage Return et Linefeed.

client-id     = *VSCHAR
client-secret = *VSCHAR

response-type = response-name *( SP response-name )
response-name = 1*response-char
response-char = "_" / DIGIT / ALPHA

scope = scope-token *( SP scope-token )
scope-token = 1*NQCHAR

state = 1*VSCHAR
redirect-uri = URI-reference
error = 1*NQSCHAR
error-description = 1*NQSCHAR
error-uri = URI-reference

grant-type = grant-name / URI-reference
grant-name = 1*name-char
name-char = "-" / "." / "_" / DIGIT / ALPHA

code = 1*VSCHAR
access-token = 1*VSCHAR
token-type = type-name / URI-reference
type-name = 1*name-char
expires-in = 1*DIGIT
username = *UNICODECHARNOCRLF
password = *UNICODECHARNOCRLF
refresh-token = 1*VSCHAR

param-name = 1*name-char

Appendix B. Utilisation du type de média application/x-www-form-urlencoded

Au moment de la publication, le type de média "application/x-www-form-urlencoded" était défini dans la section 17.13.4 de [W3C.REC-html401-19991224], mais n'était pas enregistré dans le registre IANA MIME Media Types. Cette définition était également incomplète, car elle ne traitait pas les caractères non-US-ASCII.

Pour générer des payloads avec ce type de média, les noms et valeurs doivent d'abord être encodés avec le schéma UTF-8 [RFC3629]; la séquence d'octets résultante est ensuite encodée selon les règles d'échappement définies dans [W3C.REC-html401-19991224].

Lors de l'analyse de données issues d'un payload de ce type, les noms et valeurs obtenus après inversion de l'encodage name/value doivent donc être traités comme des séquences d'octets, à décoder avec UTF-8.

Par exemple, la valeur composée des six points de code Unicode U+0020, U+0025, U+0026, U+002B, U+00A3 et U+20AC est encodée en octets comme suit:

20 25 26 2B C2 A3 E2 82 AC

puis représentée dans le payload comme suit:

+%25%26%2B%C2%A3%E2%82%AC

Appendix C. Remerciements

La spécification initiale du protocole OAuth 2.0 a été éditée par David Recordon, à partir de deux publications antérieures: la spécification communautaire OAuth 1.0 [RFC5849] et OAuth WRAP [OAuth-WRAP]. Eran Hammer a ensuite édité de nombreux brouillons intermédiaires devenus cette RFC. La section Security Considerations a été rédigée par Torsten Lodderstedt, Mark McGloin, Phil Hunt, Anthony Nadalin et John Bradley. La section sur "application/x-www-form-urlencoded" a été rédigée par Julian Reschke. La section ABNF a été rédigée par Michael B. Jones.

La spécification communautaire OAuth 1.0 a été éditée par Eran Hammer et rédigée par Mark Atwood, Dirk Balfanz, Darren Bounds, Richard M. Conlan, Blaine Cook, Leah Culver, Breno de Medeiros, Brian Eaton, Kellan Elliott-McCrea, Larry Halff, Eran Hammer, Ben Laurie, Chris Messina, John Panzer, Sam Quigley, David Recordon, Eran Sandler, Jonathan Sergent, Todd Sieling, Brian Slesinsky et Andy Smith.

La spécification OAuth WRAP a été éditée par Dick Hardt et rédigée par Brian Eaton, Yaron Y. Goland, Dick Hardt et Allen Tom.

Cette spécification est le travail du groupe de travail OAuth, qui comprend de nombreux participants actifs et dévoués. De nombreuses personnes ont contribué des idées, des retours et du texte ayant façonné la spécification finale, notamment Michael Adams, Amanda Anganes, Andrew Arnott, Dirk Balfanz, John Bradley, Brian Campbell, Blaine Cook, Leah Culver, Brian Eaton, Eran Hammer, Dick Hardt, Phil Hunt, Michael B. Jones, Torsten Lodderstedt, Anthony Nadalin, Julian Reschke, Peter Saint-Andre, Nat Sakimura, Justin Richer, Allen Tom et beaucoup d'autres.

Ce document a été produit sous la présidence de Blaine Cook, Peter Saint-Andre, Hannes Tschofenig, Barry Leiba et Derek Atkins. Les directeurs de zone comprenaient Lisa Dusseault, Peter Saint-Andre et Stephen Farrell.

Adresse de l'auteur

Dick Hardt (editor)
Microsoft

EMail: [email protected]
URI: http://dickhardt.org/