Introduction
Objectif du document
OAuth2 est un système qui aide les applications à accéder de manière sécurisée aux données d'un utilisateur sans que celui-ci n'ait à partager directement son mot de passe. Il existe deux flux importants pour le système HIN : le flux d'autorisation (Grant Flow) et le flux d'identification (Credential Flow).
Le flux d'autorisation est utilisé lorsqu'un utilisateur se connecte à une application et autorise cette dernière à accéder à ses données. Un exemple est la connexion à une application via un compte Google, où l'application est autorisée à accéder aux e-mails de l'utilisateur. L'application reçoit un code d'autorisation qu'elle échange ensuite contre un jeton d'accès (Access Token). Ce jeton accorde à l'application l'autorisation d'accéder aux données de l'utilisateur. Dans notre cas, "Filebox" est un exemple d'application adaptée au flux d'autorisation. Ici, il est important de savoir quel utilisateur fait la demande, car le contenu de Filebox varie selon l'utilisateur.
Le flux d'identification fonctionne différemment, car il n'y a pas d'utilisateur qui doit donner son accord. L'application demande simplement un jeton d'accès pour accéder à une API ou à d'autres données. Cela se produit généralement lorsque deux applications/machines doivent communiquer directement entre elles sans qu'un utilisateur ne soit impliqué dans le processus. Par exemple, le service Covercard serait approprié pour le flux d'identification, car l'identité de l'utilisateur n'a pas d'importance.
Spécifications
| Type | Durée |
|---|---|
| Jeton d'authentification (Auth Token) | 10 minutes |
| Jeton de rafraîchissement (Refresh Token) | 2592000s → 30 jours |
| Appels API | 1 an |
| Secret (CC) | Max 0,3 par seconde |
| Secret (GF) | non défini |
Téléchargements OAuth2
Informations complémentaires
Vous trouverez des réponses supplémentaires sur https://support.hin.ch/.