Aller au contenu principal

2.4. Management of Client Redirect URIs (Gestion des URI de redirection)

2.4. Management of Client Redirect URIs (Gestion des URI de redirection)

OAuth 2.0 [RFC6749] permet dans certains cas d'utiliser des valeurs redirect_uri non enregistrées ou laisse le serveur d'autorisation appliquer sa propre sémantique de correspondance. Toutefois, le BCP de sécurité OAuth [OAUTH-SECURITY-TOPICS] et OAuth 2.1 [OAUTH-V2] exigent une correspondance exacte du paramètre redirect_uri avec l'ensemble des URI établis pour le client. Cela permet une détection précoce d'usurpation et évite les fuites de jetons et les redirections ouvertes. Inconvénient : la gestion des clients peut être plus lourde car l'URI de redirection est souvent la partie la plus volatile de la politique client.

L'exigence de correspondance exacte PEUT être assouplie avec PAR pour les clients ayant des informations d'authentification établies avec le serveur d'autorisation. Contrairement à une requête d'autorisation classique, le serveur authentifie le client avant le début du processus d'autorisation. Le serveur d'autorisation PEUT permettre à ces clients de préciser des redirect_uri non préalablement enregistrés, offrant plus de flexibilité et simplifiant la gestion. Des restrictions sur les redirect_uri fournis relèvent du serveur ; il PEUT par ex. exiger un préfixe d'URI ou n'autoriser qu'une variation de paramètre de requête à l'exécution.

Remarque : la possibilité d'URI de redirection spécifiques à une transaction est aussi utile lorsque les identifiants client, informations d'identification et politiques sont gérés par un tiers de confiance (par ex. certificats clients). Un tel client externe peut interagir avec un serveur qui fait confiance à ce tiers sans étape d'enregistrement supplémentaire.

Dernière mise à jour le