OAuth
AM es un servidor completo de OAuth 2.0 y OpenID Connect: emite tokens, valida scopes e integra con sistemas compatibles.
Flujos soportados
Authorization Code (con PKCE)
Para apps web y móviles. Soporta S256 y plain.
Device Authorization (RFC 8628)
Para TVs, CLIs e IoT sin navegador.
Refresh Token
Obtener nuevos access tokens sin re-autenticación.
Client Credentials
Autenticación servicio a servicio.
JWT Bearer (RFC 7523)
Intercambia un JWT firmado por un access token.
SAML 2.0 Bearer (RFC 7522)
Intercambia una aserción SAML por un access token.
Token Exchange (RFC 8693)
Intercambia un token existente por uno más específico.
Endpoints
| Endpoint | Propósito |
|---|---|
/oauth2/authorize | Iniciar autorización |
/oauth2/token | Intercambiar código/credenciales |
/oauth2/userinfo | Claims de usuario (OIDC) |
/oauth2/introspect | Validar token (RFC 7662) |
/oauth2/revoke | Revocar refresh token |
/oauth2/device_authorization | Iniciar flujo device |
/.well-known/openid-configuration | OIDC discovery |
/.well-known/jwks.json | Claves públicas |
Scopes
| Scope | Acceso otorgado |
|---|---|
openid | ID token OIDC |
profile | Nombre, foto, locale |
email | Email, estado verificado |
offline_access | Refresh tokens |
Configuración de tokens
Por cliente:
- Duración del access token (default 1 hora)
- Duración del refresh token (default 14 días)
- Claims de ID token
- Algoritmo de firma (RS256)
- Opciones de cookies
Relacionado
- Clientes - Configuración de clientes
- Cliente - Recurso cliente
- Integración Backend - Verificación de tokens