OAuth
AM est un serveur d’autorisation OAuth 2.0 et OpenID Connect complet : émettez des jetons, validez des scopes et intégrez n’importe quel système compatible OAuth.
Que vous construisiez des apps mobiles, des SPA, des appareils IoT ou des intégrations service à service, AM prend en charge le flux adapté.
Flux pris en charge
Authorization Code (avec PKCE)
Pour les apps web et mobiles. Prend en charge les méthodes PKCE S256 et plain.
Device Authorization (RFC 8628)
Pour les TV, CLI et appareils IoT sans navigateur.
Refresh Token
Obtenez de nouveaux access tokens sans réauthentification.
Client Credentials
Authentification service à service. Aucun utilisateur impliqué.
JWT Bearer (RFC 7523)
Échangez un JWT signé contre un access token.
SAML 2.0 Bearer (RFC 7522)
Échangez une assertion SAML contre un access token.
Token Exchange (RFC 8693)
Échangez un access token existant contre un jeton plus spécifique.
Endpoints
| Endpoint | But |
|---|---|
/oauth2/authorize | Démarrer l’autorisation, afficher la connexion |
/oauth2/token | Échanger code/identifiants contre des jetons |
/oauth2/userinfo | Obtenir les claims de profil utilisateur (OIDC) |
/oauth2/introspect | Valider un jeton (RFC 7662) |
/oauth2/revoke | Invalider un refresh token |
/oauth2/device_authorization | Démarrer le flux device |
/.well-known/openid-configuration | Découverte OIDC |
/.well-known/jwks.json | Clés de signature publiques |
Scopes
| Scope | Accès accordé |
|---|---|
openid | ID token OIDC |
profile | Nom, photo, locale |
email | Adresse e-mail, statut vérifié |
offline_access | Refresh tokens |
Configuration des jetons
Paramètres par client pour :
- Durée de vie de l’access token (par défaut : 1 heure)
- Durée de vie du refresh token (par défaut : 14 jours)
- Claims d’ID token
- Algorithme de signature (RS256)
- Options de stockage des cookies
Liés
- Clients - Configuration client
- Client - Ressource client
- Intégration backend - Vérification des jetons