OAuth
AM เป็น authorization server ที่รองรับ OAuth 2.0 และ OpenID Connect เต็มรูปแบบ ทั้งการออกโทเคน ตรวจสอบ scope และเชื่อมต่อกับระบบที่รองรับ OAuth มาตรฐาน
ไม่ว่าคุณจะพัฒนาแอปมือถือ SPA อุปกรณ์ IoT หรือ service-to-service integration ก็เลือก flow ที่เหมาะสมได้
ฟลว์ที่รองรับ
Authorization Code (with PKCE)
สำหรับเว็บแอปและแอปมือถือ รองรับ PKCE ทั้งแบบ S256 และ plain
Device Authorization (RFC 8628)
สำหรับทีวี CLI และอุปกรณ์ IoT ที่ไม่มีเบราว์เซอร์
Refresh Token
ขอ access token ใหม่ได้โดยไม่ต้องยืนยันตัวตนซ้ำ
Client Credentials
ยืนยันตัวตนแบบ service-to-service โดยไม่มีผู้ใช้เข้ามาเกี่ยวข้อง
JWT Bearer (RFC 7523)
แลก JWT ที่ลงลายเซ็นแล้วเป็น access token
SAML 2.0 Bearer (RFC 7522)
แลก SAML assertion เป็น access token
Token Exchange (RFC 8693)
แลก access token ที่มีอยู่แล้วเป็นโทเคนที่เฉพาะเจาะจงกว่า
Endpoints
| Endpoint | วัตถุประสงค์ |
|---|---|
/oauth2/authorize | เริ่มขั้นตอนอนุญาตและแสดงหน้าเข้าสู่ระบบ |
/oauth2/token | แลก code/credentials เป็นโทเคน |
/oauth2/userinfo | ดึง user profile claims (OIDC) |
/oauth2/introspect | ตรวจสอบโทเคน (RFC 7662) |
/oauth2/revoke | ยกเลิก refresh token |
/oauth2/device_authorization | เริ่ม device flow |
/.well-known/openid-configuration | OIDC discovery |
/.well-known/jwks.json | public signing keys |
Scopes
| Scope | สิทธิ์ที่ได้รับ |
|---|---|
openid | OIDC ID token |
profile | ชื่อ รูปภาพ locale |
email | อีเมลและสถานะการยืนยัน |
offline_access | refresh token |
การตั้งค่าโทเคน
ตั้งค่ารายไคลเอนต์สำหรับ:
- อายุ access token (ค่าปริยาย: 1 ชั่วโมง)
- อายุ refresh token (ค่าปริยาย: 14 วัน)
- claims ใน ID token
- อัลกอริทึมลงลายเซ็น (RS256)
- ตัวเลือกการเก็บข้อมูลในคุกกี้
ที่เกี่ยวข้อง
- ไคลเอนต์ - การตั้งค่าไคลเอนต์
- Client - ทรัพยากรไคลเอนต์
- การเชื่อมต่อ Backend - การตรวจสอบโทเคน