Pre komplexné informácie ohľadom OAuth 2.0 návštívte stránkus normou RFC 6749.
Na stránkeoauth.netmôžete nájsť a stiahnuť riešenia na serverové knižnice a klientov v rôznych jazykoch.
Resource Owner je vlastník dát, ktorý povoľuje prístup k chráneným údajom. Vlastníkom dát môže byť konkrétny používateľ (koncový používateľ) alebo spoločnosť.
Pre prístup k chráneným údajom koncového používateľa môže byť požadované schválenie používateľom.
Resource Owner je API server, ktorý hosťuje chránené dáta. A jeho úlohou je odpovedanie na requesty, ktoré sú podpísané access tokenom. Pri prijatí requestu si overí, či prijatý access token je platný, a či má token oprávnenia žiadať chránené dáta.
\n\nClient je aplikácia, ktorá robí autorizované requesty na API servery. V našej implemtácii sú povolení len clienti registrovaní na autorizačnom serveri. Nemáme
povolené requesty z verejných (neregistrovaných) klientov.
Authorization Server je server, ktorý vydáva (access/refresh) tokeny po úspešnej autorizácii klientov, poskytuje informácie o vydaných tokenoch a v našom prípade aj umožňuje zneplatnenie tokenov.
\n\n---\n\nTyp autorizácie hovorí o spôsobe, akým môže client získať access token na prístup k chráneným údajom na API serveri.
\n\nClient zavolá autorizačný server, kde sa zobrazí prihlasovací formulár. Ak sa používateľ (ne)úspešne prihlási,
autorizačný server presmeruje používateľa na stránku zadefinovanú, buď v nastavení klienta, alebo na základe parametra
(redirect uri) spolu s výsledkom prihlásenia. Ak bolo prihlásenie úspešné, tak odpoveďou je autorizačný kód,
v opačnom prípade vráti chybovú hlášku. Klient ďaľším requestom na autorizačný server so svojim CLIENT_ID
a CLIENT_SECRET vymení autorizačný kód za access token. Klientovi nie sú poskytnuté používateľove prihlasovacie
údaje z autorizačného serveru.
Client credentials používame na výmenu dát medzi našimi informačnými systémami. Každý klient má vopred
zadefinované kam má prístup (scope). Client Credentials sa najčastejšie používa za predpokladu,
že klient je vlastníkom chránených zdrojov (API) alebo je splnomocnený autorizačným serverom na
dotazovanie sa na tieto API.
| Parameter | Popis |
|---|---|
client_id | ID klienta (aplikácie), ktorým sa predstavuje autorizačnému serveru. Autorizačný server overí tieto údaje vo svojom zozname registrovaných klientov. |
client_secret | Tajná fráza, ktorou sa spolu s parametrom client_id predstavuje smerom k autorizačnému serveru. Autorizačný server overí tieto údaje vo svojom zozname registrovaných klientov. |
response_type | Popisuje aký typ odpovede požaduje v odpovedi. Môže nadobúdať hodnoty code alebo token |
redirect_uri | Návratová adresa, kam bude používateľ presmerovaný po prihlásení na Autorizačný server. Používa sa pri Implicit Grant a Authorization Code Grant. |
scope | Parametrom scope definujete k akým zdrojom (API na resource serveroch) chcete pristupovať. Parameter scope je previazaný s access_tokenom. Každý klient ma na autorizačnom serveri definované aké scope môže nadobúdať. Ak potrebujete zaslať zoznam hodnôt do parametru, tak ich oddeľte znakom space. |
state | Tento parameter je generovaný klientom pri autorizačnom requeste. Autorizačný server tento parameter doplní do redirect_uri. Slúži ako prevencia cross-site forgery. Používa sa vždy, keď sa ako odpoveď má použiť presmerovanie na redirect_uri zo strany autorizačného servera ako odpoveď na request od klienta. |
grant_type | Zvolený typ autorizácie pre request. Každý registrovaný klient ma u nás definované aké spôsoby autorizácie sú pre neho povolené. Môže nadobúdať hodnoty: authorization_code, client_credentials |
code | Autorizačný kód vrátený po úspešnom requeste pre Authorization Code Grant. Má krátku platnosť a po prvom použití je zneplatnený. |
token_type | Typ tokenu, ktorý je použitý v komunikácii. Používame typ tokenu Bearer |
access_token | Pridelený access token. Platnosť access tokenu býva zvyčajne hodinu. |
expires_in | Čas expirácie tokenu v sekundách. |
refresh_token | Pridelený refresh token. Platnosť refresh tokenu býva zvyčajne rok. Slúži na offline prístup k používateľovým údajom bez nutnosti opätovnej autorizácie aplikácie na prístup k dátam. Pomocou refresh token môže byť vyžiadaný nový access token. |
Proces autorizácie využíva 2 koncové body autorizačného serveru(HTTP resources) podľa RFC normy a ďalšie dva nami definované koncové body.
\n\nAuthorization endpoint je používaný pri autorizácii klienta a používateľa. Odpoveďou je autorizačný kód alebo chyba s popisom.
Po autorizácií je klient presmerovaný cez uzatvorený Redirect endpoint na definovanú redirect_uri
späť s výsledkom autorizácie. Viď.Authorization Code Grant - response
URL: {{url-pgsk}}auth/authorize
\n\n---\n\nToken endpoint - používaný na výmenu autorizačného kódu za access_token, alebo pre vydanie access_tokenu
pre klientov za ich CLIENT_ID a CLIENT_SECRET. Parametre requestu sú závislé od použitého
typu autorizácie.
URL: {{url-pgsk}}auth/token
\n\n---\n\n