Suivi de l’API et authentification OAuth 2.0

Qu’est-ce que l’authentification OAuth ? Une brève histoire.

OAuth 2.0 Authentification, comme l’explique oauth.net, est un « protocole de délégation qui est utilisé pour transmettre les décisions d’autorisation à travers un réseau d’applications web et d’API ». OAuth a été créé en 2006 par des développeurs de Twitter et Ma.gnolia, un site de signet social. Ma.gnolia cherchait un moyen d’utiliser OpenID, avec l’API Twitter, pour déléguer l’authentification. Les équipes ont fait des recherches sur des idées et ont finalement réalisé qu’il n’y avait pas de norme ouverte pour la délégation d’accès à l’API. En outre, Google a également été la recherche de ce même problème et entendu parler du projet entre Twitter et Ma.gnolia. En conséquence, les membres de Google ont rejoint l’équipe. À la fin de 2007, le projet OAuth Core 1.0 a été publié. Le cadre actuel, OAuth 2.0, est sorti en octobre 2012.

 

OAuth 2.0 Rôles d’authentification

Dans OAuth 2.0, les quatre rôles suivants sont définis :

  • Propriétaire des ressources. Le propriétaire de la ressource peut accorder l’accès à une ressource ou un service protégé. Il peut s’agir d’une personne, d’une application ou d’une politique de sécurité, mais généralement d’un être humain réel.
  • Serveur de ressources. C’est le serveur qui héberge la ressource ou le service. Le serveur accepte et répond aux demandes.
  • Application client. Appelée le client OAuth, l’application client est l’application qui demande l’accès aux ressources sur le serveur de ressources.
  • Serveur d’autorisation. Après avoir authentifié le propriétaire de la ressource et obtenu l’autorisation, le serveur d’autorisation fournit ensuite les jetons d’accès au client.

Il est important de noter qu’OAuth n’est pas un protocole d’authentification, mais plutôt un protocole d’autorisation. La façon dont les composants fonctionnent ensemble et interagissent peut sembler suggérer l’authentification, cependant, il n’est pas destiné à être utilisé en tant que tel.

 

Pourquoi utiliser oAuth 2.0 Authentification?

Il y a de fortes chances que vous avez déjà vu le concept OAuth en action et que vous ne l’avez même pas réalisé. Beaucoup d’applications que vous utilisez tous les jours utilisent OAuth. Par exemple, supposons que vous magasiniez pour un article et que vous le trouviez sur Etsy. Vous souhaitez l’acheter, mais le seul problème est que vous n’avez pas de compte Etsy. Sur la page d’accueil d’Etsy, vous verrez une option de connexion à l’aide de votre compte Facebook ou Google. Dans ce cas, vous êtes propriétaire de ressources, Etsy est l’application client, et Facebook ou Google est l’API, ou le serveur d’autorisation. Maintenant, vous devrez fournir à Etsy quelques informations supplémentaires pour acheter des articles, mais en utilisant OAuth Authentication, cela vous permet de vous connecter à Etsy sans avoir à créer un mot de passe supplémentaire. Aujourd’hui, se connecter à l’aide de Facebook ou Google est devenu omniprésent sur Internet, alors quel est vraiment l’avantage d’OAuth?

  • Protéger votre vie privée. L’utilisation d’OAuth vous permet d’accorder des ressources privées d’un site à l’autre. OAuth a pour but de vous donner accès à certaines choses sans partager votre identité.
  • Expérience client. Dans l’exemple utilisé ci-dessus, l’utilisation de vos données Facebook peut permettre à Etsy d’améliorer votre expérience sur leur application.
  • Authentification plus forte. S’appuyer sur un système d’authentification créé par de plus grandes entreprises, comme Facebook ou Google, est plus facile, et moins risqué, que la création d’un système interne.

En outre, et spécifiquement pour les développeurs, il ya des bibliothèques OAuth dans une variété de langues populaires, y compris PHP, Java, Ruby, Python, .NET, JavaScript, et bien d’autres. Pour la liste complète des langues prises en charge, visitez https://oauth.net/code/.

 

Surveillance des API OAuth 2.0 avec Dotcom-Monitor

Votre API peut exiger l’authentification OAuth 2.0 pour permettre à d’autres services Web, tels que les applications client, d’obtenir des droits d’accès à des ressources spécifiques sur votre service sur HTTP/S. Un appel API de service qui utilise OAuth 2.0 doit, au minimum, suivre ces étapes :

  • Obtenir un jeton d’accès API.
  • Demande de données personnalisées du service en utilisant le jeton d’accès attribué à l’application.

Avec la plate-forme Dotcom-Monitor, vous pouvez configurer un dispositif de surveillance multitâle à l’aide d’une tâche HTTP/S. Pour voir des exemples de scripts d’authentification OAuth au sein de la plate-forme Dotcom-Monitor, et pour en savoir plus sur la façon de configurer un dispositif de surveillance pour surveiller la disponibilité et les performances des API Web basées sur OAuth, lisez notre article de la base de connaissances sur la surveillance des API OAuth 2.0.

Latest Web Performance Articles​

WordPress vs. WP Engine : Protégez vos sites

Récemment, un différend public a éclaté entre WordPress et WP Engine, l’une des plateformes d’hébergement WordPress gérées les plus populaires. Le désaccord porte sur l’utilisation

Start Dotcom-Monitor for free today​

No Credit Card Required