RFC 6750 - Cadre d'autorisation OAuth 2.0 : Utilisation des jetons porteur

Date de publication : Octobre 2012
Statut : Standards Track
Auteurs : M. Jones (Microsoft), D. Hardt (Independent)

---

Résumé (Abstract)

Cette spécification décrit comment utiliser les jetons porteur (Bearer Token) dans les requêtes HTTP pour accéder aux ressources protégées par OAuth 2.0. Toute partie en possession d'un jeton porteur (un « porteur ») peut l'utiliser pour accéder aux ressources associées (sans démontrer la possession d'une clé cryptographique). Pour éviter les abus, les jetons porteur doivent être protégés contre la divulgation lors du stockage et du transport.

---

Table des matières (Table of Contents)

• 1. Introduction
  • 1.1 Conventions de notation
  • 1.2 Terminologie
  • 1.3 Vue d'ensemble
• 2. Requêtes authentifiées
  • 2.1 Champ d'en-tête de requête Authorization
  • 2.2 Paramètre de corps encodé en formulaire
  • 2.3 Paramètre de requête URI
• 3. Le champ d'en-tête de réponse WWW-Authenticate
  • 3.1 Codes d'erreur
• 4. Exemple de réponse de jeton d'accès
• 5. Considérations de sécurité
  • 5.1 Menaces de sécurité
  • 5.2 Atténuation des menaces
  • 5.3 Résumé des recommandations
• 6. Considérations IANA
  • 6.1 Enregistrement du type de jeton d'accès OAuth
  • 6.2 Enregistrement des erreurs d'extension OAuth
• 7. Références
  • 7.1 Références normatives
  • 7.2 Références informatives

Annexes (Appendices)

• Appendix A. Remerciements

---

Ressources connexes

• Texte officiel : RFC 6750 (TXT)
• Page officielle : RFC 6750 DataTracker
• Document connexe : RFC 6749 - Cadre d'autorisation OAuth 2.0
• Errata : RFC Editor Errata

---

Référence rapide

Qu'est-ce qu'un jeton porteur ?

Un jeton porteur (Bearer Token) est un jeton de sécurité avec la propriété que toute partie en possession du jeton (un « porteur ») peut l'utiliser pour accéder aux ressources associées. Contrairement à d'autres types de jetons, l'utilisation d'un jeton porteur ne nécessite pas que le porteur prouve la possession de matériel de clé cryptographique.

Trois méthodes d'utilisation des jetons porteur

1. En-tête de requête Authorization (Recommandé) - Authorization: Bearer <token>
2. Paramètre de corps encodé en formulaire - Paramètre access_token dans le corps de la requête POST
3. Paramètre de requête URI (Non recommandé) - ?access_token=<token> dans l'URL

Pourquoi la protection est-elle nécessaire ?

Puisque toute personne possédant un jeton porteur peut l'utiliser, il est obligatoire de :

• ✅ Utiliser HTTPS pour la transmission
• ✅ Définir des délais d'expiration raisonnables
• ✅ Éviter de passer les jetons dans les URL (ils seront enregistrés dans les journaux)
• ✅ Stocker les jetons en toute sécurité

---

Important : Ce RFC est un document complémentaire à RFC 6749 (OAuth 2.0), définissant comment utiliser les jetons d'accès émis par OAuth 2.0.