Applications confidentielles et publiques

Sur cette page

Applications privées
Types d’autorisation
Jetons d’ID
Applications publiques
Types d’autorisation
Jetons d’ID
En savoir plus

Selon la Spécification OAuth 2.0, les applications peuvent être classées comme confidentielles ou publiques. Différence principale : si une application a ou non la capacité de contenir des identifiants (comme ID client et secret) de manière sécurisée. Cela affecte le type d’authentification utilisée par l’application. Lorsque vous créez une application avec le Tableau de bord, Auth0 vous demande le type d’application que vous souhaitez affecter à cette nouvelle application et utilise cette information pour déterminer si l’application est confidentielle ou publique. Pour en savoir plus, consulter Vérification du caractère confidentiel ou public d’une application.

Applications privées

Les applications confidentielles peuvent conserver des identifiants de manière sécurisée sans les exposer à des parties non autorisées. Elles exigent un serveur dorsal pour stocker le ou les secrets.

Types d’autorisation

Les applications confidentielles utilisent un serveur dorsal de confiance et peuvent utiliser des types d’autorisation exigeant de spécifier leur ID Client et Secret client (ou autres identifiants enregistrés alternatifs) pour s’authentifier en appelant le point de terminaison Obtenir un jeton de l’Authentication API Auth0. Les applications confidentielles peuvent utiliser les méthodes d’authentification Publication du secret client , Secret client de base ou Clé privée JWT. Les applications suivantes sont considérées comme des applications confidentielles :

Une application web avec un système dorsal sécurisé qui utilise leFlux de code d’autorisation, Flux de mot de passe du propriétaire de ressource ou Flux de mot de passe du propriétaire de ressource avec soutien de partition
Une application de communication entre machines (M-M) qui utilise le Flux des identifiants client

Jetons d’ID

Étant donné que les applications confidentielles sont capables de stocker les secrets, vous pouvez leur émettre des jetons d’ID lorsqu’ils sont connectés de l’une de deux façons :

Symétriquement, en utilisant le secret client (HS256)
Asymétriquement, en utilisant une clé privée (RS256)

Applications publiques

Applications publiques ne peuvent pas détenir les identifiants en toute sécurité.

Types d’autorisation

Les applications publiques ne peuvent utiliser que les types d’autorisation ne demandant pas d’utiliser leur secret client. Elles ne peuvent envoyer de secret client parce qu’elles ne peuvent pas conserver la confidentialité et les identifiants nécessaires. Ces applications sont publiques :

Une application de bureau ou mobile native qui utilise Flux de code d’autorisation avec PKCE
Une application web côté client basée sur JavaScript (telle qu’une application à page unique) qui utilise le flux d’autorisation implicite

Jetons d’ID

Les applications publiques ne pouvant contenir de secrets, les jetons d’ID qui leur sont délivrés doivent être :

Signés asymétriquement, en utilisant une clé privée (RS256)
Vérifiés à l’aide de la clé publique correspondant à la clé privée utilisée pour signer le jeton

En savoir plus

Paramètres fictifs d'URL de sous-domaine

Vérification du caractère confidentiel ou public d’une application

⌘I

Intégration d’Auth0

Apprendre les bases

Configuration d’Auth0

Planification et conception

Auth0 AI

Applications confidentielles et publiques

Applications privées

Types d’autorisation

Jetons d’ID

Applications publiques

Types d’autorisation

Jetons d’ID

En savoir plus

Intégration d’Auth0

Apprendre les bases

Configuration d’Auth0

Planification et conception

Auth0 AI

​Applications privées

​Types d’autorisation

​Jetons d’ID

​Applications publiques

​Types d’autorisation

​Jetons d’ID

​En savoir plus

Applications privées

Types d’autorisation

Jetons d’ID

Applications publiques

Types d’autorisation

Jetons d’ID

En savoir plus