RFC 8252 - OAuth 2.0 pour les applications natives

• Statut: Best Current Practice
• Publié: October 2017
• Stream: IETF
• Met à jour: RFC6749
• Errata: Pas d'errata

---

Résumé

Les demandes d'autorisation OAuth 2.0 provenant d'applications natives ne doivent être effectuées que via des agents utilisateurs externes, principalement le navigateur de l'utilisateur. Cette spécification détaille les raisons de sécurité et d'utilisabilité pour lesquelles c'est le cas et comment les applications natives et les serveurs d'autorisation peuvent mettre en œuvre cette meilleure pratique.

---

Statut de ce mémo

Ce mémo documente une meilleure pratique actuelle d'Internet.

Ce document est un produit de l'Internet Engineering Task Force (IETF). Il représente le consensus de la communauté IETF. Il a fait l'objet d'un examen public et a été approuvé pour publication par l'Internet Engineering Steering Group (IESG).

---

Table des matières

• 1. Introduction
• 2. Conventions de notation
• 3. Terminologie
• 4. Vue d'ensemble
  • 4.1. Flux d'autorisation pour les applications natives utilisant le navigateur
• 5. Utilisation de la communication URI inter-applications pour OAuth
• 6. Initiation de la demande d'autorisation depuis une application native
• 7. Réception de la réponse d'autorisation dans une application native
  • 7.1. Redirection par schéma URI à usage privé
  • 7.2. Redirection par URI de schéma "https" revendiqué
  • 7.3. Redirection par interface de bouclage
• 8. Considérations de sécurité
  • 8.1. Protection du code d'autorisation
  • 8.2. Flux d'autorisation implicite OAuth
  • 8.3. Considérations sur la redirection de bouclage
  • 8.4. Enregistrement des clients d'applications natives
  • 8.5. Authentification du client
  • 8.6. Usurpation d'identité du client
  • 8.7. Faux agents utilisateurs externes
  • 8.8. Agents utilisateurs externes malveillants
  • 8.9. Protections contre la falsification de requêtes inter-applications
  • 8.10. Atténuation de la confusion du serveur d'autorisation
  • 8.11. Agents utilisateurs externes non-navigateurs
  • 8.12. Agents utilisateurs intégrés
• 9. Considérations IANA
• 10. Références
  • 10.1. Références normatives
  • 10.2. Références informatives

Annexes

• Annexe A. Liste de vérification du support serveur
• Annexe B. Détails d'implémentation spécifiques à la plateforme
  • B.1. Détails d'implémentation iOS
  • B.2. Détails d'implémentation Android
  • B.3. Détails d'implémentation Windows
  • B.4. Détails d'implémentation macOS
  • B.5. Détails d'implémentation Linux
• Remerciements
• Adresses des auteurs

---

Ressources associées

• RFC officiel: RFC 8252
• DataTracker: RFC 8252 DataTracker
• Errata: RFC Editor Errata

---