• [^] # Re: Scope

    Posté par (site web personnel) . En réponse au journal Comment j'ai (presque) réussi à ne plus retenir de mot de passe pour mes services en ligne. Évalué à 4.

    C'est un choix d'implémentation.

    La question qui doit être répondue est la suivante: Le programme X veut accéder aux ressources Y de l'utilisateur Z. Mais il se peut que Z n'ait pas le droit d'accéder à Y tout court, genre l'utilisateur lambda n'a pas le droit d'accéder à la console d'administration, seulement à ses mails et nextcloud. Donc pour permettre ces niveaux d'accès, j'utilise les scopes.

    La norme OAuth2 est assez souple sur la nature scope et à quoi il sert. Elle spécifie qu'un ou plusieurs scopes peuvent être associés à un access token mais ne rend pas les scopes obligatoires.

    Le client inclus dans sa requête d'authentification la liste des scopes qu'il souhaite avoir, mais peut recevoir une sous-liste partielle des scopes demandés.

    Les scopes utilisés pour accéder à des claims est une fonctionnalité propre à OIDC qui permet à un utilisateur d'autoriser ou non le client d'accéder à des données personnelles de l'utilisateur.