OAuth
AM es un servidor de autorización completo de OAuth 2.0 y OpenID Connect: emite tokens, valida scopes y se integra con cualquier sistema compatible con OAuth.
Ya sea que estés creando apps móviles, SPAs, dispositivos IoT o integraciones servicio a servicio, AM admite el flujo adecuado.
Flujos compatibles
Authorization Code (con PKCE)
Para aplicaciones web y móviles. Admite los métodos PKCE S256 y plain.
Device Authorization (RFC 8628)
Para TVs, CLIs y dispositivos IoT sin navegador.
Refresh Token
Obtén nuevos access tokens sin volver a autenticarte.
Client Credentials
Autenticación servicio a servicio. No interviene ningún usuario.
JWT Bearer (RFC 7523)
Intercambia un JWT firmado por un access token.
SAML 2.0 Bearer (RFC 7522)
Intercambia una aserción SAML por un access token.
Token Exchange (RFC 8693)
Intercambia un access token existente por un token más específico.
Endpoints
| Endpoint | Propósito |
|---|---|
/oauth2/authorize | Iniciar autorización y mostrar login |
/oauth2/token | Intercambiar código/credenciales por tokens |
/oauth2/userinfo | Obtener claims de perfil de usuario (OIDC) |
/oauth2/introspect | Validar token (RFC 7662) |
/oauth2/revoke | Invalidar refresh token |
/oauth2/device_authorization | Iniciar flujo de dispositivo |
/.well-known/openid-configuration | Descubrimiento OIDC |
/.well-known/jwks.json | Claves públicas de firma |
Scopes
| Scope | Acceso otorgado |
|---|---|
openid | ID token de OIDC |
profile | Nombre, imagen y locale |
email | Dirección de email y verificación |
offline_access | Refresh tokens |
Configuración de tokens
Configuración por cliente para:
- Tiempo de vida del access token (por defecto: 1 hora)
- Tiempo de vida del refresh token (por defecto: 14 días)
- Claims del ID token
- Algoritmo de firma (RS256)
- Opciones de almacenamiento en cookies
Relacionado
- Clientes - Configuración de clientes
- Cliente - Recurso de cliente
- Integración Backend - Verificación de tokens