URL: https://linuxfr.org/forums/programmationweb/posts/authentification-par-token-oauth-openid Title: Authentification par token. OAuth, openId Authors: j_m Date: 2015年10月10日T12:18:21+02:00 License: CC By-SA Tags: Score: 0 Bonjour, Je programme un Web Service qui doit être vendu à des clients. Ils payent par requête au Web Service. Un cas d'utilisation typique serait que le client fasse un site Web pour ses utilisateurs finaux qui fait appel à mes Web Services. J'aimerais bien distribuer un token d'authentification à mes clients (qui ne sont pas les utilisateurs finaux du WS). Le token est un message avec un code HMAC d'authentification. Donc le client récupère son token derrière un formulaire login/mot de passe. Il va devoir payer toutes les transactions qui ont été initiées par ce token. Donc je suppose qu'il voudra le garder secret. Cependant j'ai vu que certain site qui utilisent des services similaires montrent un token à l'utilisateur final. Par exemple Mapbox. Et il se trouve qu'ils utilisent un système à **deux tokens**, un public un privé. On peut lire ça dans leur doc: https://www.mapbox.com/help/create-api-access-token/ Le client doit juste mettre ça sur ça page pour ses utilisateurs finaux. C'est très simple: ```javascript var map = L.mapbox.map('map', 'mapbox.outdoors', { accessToken: '' }); ``` Et après on retrouve des tokens dans l'url (le web service a l'air de fonctionner en GET). Apparemment il n'y a pas de problème à ce que l'utilisateur final voie le token d'identification. Quelqu'un sait comment ça marche ? C'est du OAuth ? Open ID ?

AltStyle によって変換されたページ (->オリジナル) /