Le Guide API ReST | Marmicode
  • Le Guide API ReST par Marmicode
  • API ReST
    • L'Ecosystème Moderne
    • Le Besoin
    • Re.S.T. : REpresentational State Transfer
    • Les 5 règles et ½ de l’API ReST
    • Le Modèle de Maturité de Richardson
    • H.A.T.E.O.A.S. & Resource Linking
    • Avis Subjectif sur H.A.T.E.O.A.S. et le Semantic Web
    • ReST over HTTP
    • HTTP & CRUD
    • ReSTful donc Stateless
    • Pragmatisme, Idéologie et ReSTafarians
  • Conventions & Bonnes Pratiques
    • Nommage
    • Base URL
    • Media Type
    • Versioning
    • Propriété “id”
    • Polymorphisme
    • Datetime
    • Ressource d'Association
    • Pourquoi Appliquer ces Bonnes Pratiques
    • Zalando ReSTful API Guidelines
  • Les Outils
    • Swagger
    • OpenAPI Visual Editors
    • IDE Plugins
    • Postman
    • Insomnia
    • Fake & Sandbox
    • JSON Generator
    • Pact
  • Sécurité des APIs ReST
    • OWASP Top 10
    • Authentification et Session Management
    • Autorisation et Gestion des Permissions
    • Validation, Canonicalization, Escaping & Sanitization
    • Cookies are EVIL
    • C.O.R.S.
    • C.S.R.F.
    • C.S.R.F. & Media Type
    • C.S.R.F. Mitigation
    • C.S.R.F. & "Resource Linking"
    • J.O.S.E.
      • J.W.K.
      • J.W.S.
      • J.W.E.
    • J.W.T.
      • Description et Fonctionnement de JWT
      • Usages et Avantages
      • Utilisation de JWT pour l’Authentification
      • JWT, Authentification, Sessions et Risques Sécurité
      • Recommandations JWT
    • OAuth 2
      • OAuth 2 Roles
      • OAuth 2 Abstract Flow
      • OAuth 2 Authorization Code Flow
      • OAuth 2 Implicit Flow
      • OAuth 2 Resource Owner Password Credentials Flow
      • OAuth 2 Client Credentials
      • OAuth 2 Registration
      • OAuth 2 Risques & Recommandations
      • OAuth 2 Substitution Attack
    • OpenID Connect
      • Terminologie
      • Quoi de Neuf ?
      • OpenID Connect Flows
      • Que Faire ?
  • Autres Spécifications
    • JSON API
    • H.A.L.
    • JSON LD
    • Les Autres Initiatives
    • So What?
  • Quelques Liens & Ressources
  • Stay Tuned
    • 📝Blog
    • 🐦Twitter
    • 📬Newsletter
Propulsé par GitBook
Sur cette page
  • Authentification et Réauthentification
  • Hint
  • J.W.T.
  • Claims Distribués et Agrégés
  • Logout
  • Dynamic Client Registration
  • Discovery
  • Claims et Scopes Supplémentaires
  1. Sécurité des APIs ReST
  2. OpenID Connect

Quoi de Neuf ?

OpenID Connect fournit les fonctionnalités supplémentaires suivantes :

Authentification et Réauthentification

Le Relying Party peut demander à l'OpenID Provider d’authentifier ou réauthentifier l'End-User.

Hint

Il peut transmettre des informations supplémentaires (hint) comme l’identifiant du End-User pour faciliter la phase d’authentification.

J.W.T.

OpenID Connect peut utiliser des tokens JWT mais on peut éviter de les transmettre au End-User.

Claims Distribués et Agrégés

  • Les données du End-User sont souvent distribuées entre plusieurs OpenID Providers.

  • Avec OpenID Connect, un OpenID Provider peut agréger les claims ou fournir toutes les informations nécessaires pour les récupérer chez un d’autres OpenID Providers.

Logout

Lorsqu’un End-User logout de l'OpenID Provider, ce dernier peut notifier les Relying Parties par différents mécanismes.

Dynamic Client Registration

Certains OpenID Providers peuvent activer cette fonctionnalité permettant à des “Relying Parties” de s’inscrire dynamiquement.

Discovery

Claims et Scopes Supplémentaires

OpenID Connect définit quelques claims supplémentaires.

OpenID Connect définit quelques scopes qui englobent plusieurs claims.

PrécédentTerminologieSuivantOpenID Connect Flows

Dernière mise à jour il y a 6 ans

L'OpenID Provider peut fournir publiquement des informations permettant aux autres entités (Relying Party, OpenID Provider, …) de découvrir dynamiquement les fonctionnalités et la configuration de l'OpenID Provider.

OpenID Connect
https://accounts.google.com/.well-known/openid-configuration