RFC 8252 - OAuth 2.0 per applicazioni native

• Stato: Best Current Practice
• Pubblicato: October 2017
• Stream: IETF
• Aggiorna: RFC6749
• Errata: Nessun errata

---

Sommario

Le richieste di autorizzazione OAuth 2.0 dalle applicazioni native dovrebbero essere effettuate solo tramite user-agent esterni, principalmente il browser dell'utente. Questa specifica dettaglia i motivi di sicurezza e usabilità per cui questo è il caso e come le applicazioni native e i server di autorizzazione possono implementare questa best practice.

---

Stato di questo memorandum

Questo memorandum documenta una best practice corrente di Internet.

Questo documento è un prodotto dell'Internet Engineering Task Force (IETF). Rappresenta il consenso della comunità IETF. Ha ricevuto una revisione pubblica ed è stato approvato per la pubblicazione dall'Internet Engineering Steering Group (IESG).

---

Indice

• 1. Introduzione
• 2. Convenzioni notazionali
• 3. Terminologia
• 4. Panoramica
  • 4.1. Flusso di autorizzazione per applicazioni native che utilizzano il browser
• 5. Utilizzo della comunicazione URI inter-app per OAuth
• 6. Avvio della richiesta di autorizzazione da un'applicazione nativa
• 7. Ricezione della risposta di autorizzazione in un'applicazione nativa
  • 7.1. Reindirizzamento con schema URI ad uso privato
  • 7.2. Reindirizzamento con URI schema "https" rivendicato
  • 7.3. Reindirizzamento dell'interfaccia loopback
• 8. Considerazioni sulla sicurezza
  • 8.1. Protezione del codice di autorizzazione
  • 8.2. Flusso di autorizzazione implicita OAuth
  • 8.3. Considerazioni sul reindirizzamento loopback
  • 8.4. Registrazione dei client di applicazioni native
  • 8.5. Autenticazione del client
  • 8.6. Impersonificazione del client
  • 8.7. User-agent esterni falsi
  • 8.8. User-agent esterni malevoli
  • 8.9. Protezioni contro la falsificazione di richieste inter-app
  • 8.10. Mitigazione della confusione del server di autorizzazione
  • 8.11. User-agent esterni non-browser
  • 8.12. User-agent incorporati
• 9. Considerazioni IANA
• 10. Riferimenti
  • 10.1. Riferimenti normativi
  • 10.2. Riferimenti informativi

Appendici

• Appendice A. Checklist del supporto server
• Appendice B. Dettagli di implementazione specifici della piattaforma
  • B.1. Dettagli di implementazione iOS
  • B.2. Dettagli di implementazione Android
  • B.3. Dettagli di implementazione Windows
  • B.4. Dettagli di implementazione macOS
  • B.5. Dettagli di implementazione Linux
• Ringraziamenti
• Indirizzi degli autori

---

Risorse correlate

• RFC ufficiale: RFC 8252
• DataTracker: RFC 8252 DataTracker
• Errata: RFC Editor Errata

---