Connexion native
Les applications mobiles natives peuvent utiliser des flux de connexion natifs ou basés sur le navigateur.
Dans un flux de connexion basé sur le navigateur, un navigateur web est présenté à l’utilisateur et celui-ci est redirigé vers la page de connexion Auth0 pour s’inscrire ou se connecter. Par exemple : une application iOS ouvre SafariViewController ou une application Android ouvre un onglet Chrome personnalisé.
Avec un flux de connexion natif, l’utilisateur s’inscrit ou entre ses identifiants directement dans l’application.
Auth0 prend en charge l’une ou l’autre des options que vous choisissez.
Connexion basé sur le navigateur
Connexion native intégrée
Si vous préférez intégrer vos propres pages de connexion dans votre application native ou mobile, vous pouvez implémenter notre widget de connexion, Lock, directement dans votre application avec :
Exemples d’applications natives avec connexion intégrée :
Sans mot de passe
Connexion sans mot de passe intégrée dans les applications natives
Considérations
Inquiétudes concernant l’hameçonnage/sécurité : un tiers non autorisé pourrait décompiler ou intercepter le trafic vers oudepuis votre application pour obtenir l’ID client et l’URL d’authentification. Avec ces informations, le tiers non autorisé pourrait créer une application malveillante, la téléverser sur un magasin d’applications et l’utiliser pour pirater des noms d’utilisateur, des mots de passe et des jetons d’accès.
SSO : les utilisateurs doivent saisir leurs identifiants pour chaque application.
Il est possible de mettre en œuvre le SSO avec des applications natives en stockant des jetons d’actualisation sur un trousseau partagé, mais cela n’est pas conforme aux spécifications OAuth 2.0.
Prend plus de temps à implémenter
Aucune amélioration automatique lorsque Auth0 ajoute de nouvelles fonctionnalités, il faut actualiser le code de l’application pour profiter des nouvelles fonctionnalités par rapport à UL
Non conforme aux meilleures pratiques OAuth 2.0
RFC 8252 OAuth 2.0 pour applications natives : les demandes d’autorisation des applications natives ne devraient être effectuées que par l’intermédiaire d’agents utilisateurs externes, principalement le navigateur de l’utilisateur.
Connexion native via les médias sociaux
Vous pouvez ajouter des fonctionnalités à votre application native permettant aux utilisateurs de s’authentifier de manière native auprès des fournisseurs de médias sociaux, au sein de l’application :
Connexion Facebook :
Se connecter avec Apple :
Limites anti-attaques
Les limites ne sont appliquées qu’aux demandes liées aux flux de connexion native via les réseaux sociaux, qui sont déterminés sur la base du corps des requêtes avec les critères initiaux suivants :
| Type de demande | Corps |
|---|---|
grant_type |
urn:ietf:params:oauth:grant-type:token-exchange |
subject_token_type |
http://auth0.com/oauth/token-type/apple-authz-code |
Limites pour les locataires de production de clients payants
| Point de terminaison | Chemin | Limité par | Limite anti-attaques |
|---|---|---|---|
| Obtenir jeton | /oauth/token |
Toute requête de connexion sociale native | 50 par minute avec charges subites jusqu’à 500 requêtes |
Limites pour les locataires hors production de clients payants et tous les locataires des clients gratuits
| Point de terminaison | Chemin | Limité par | Limite anti-attaques |
|---|---|---|---|
| Obtenir un jeton | /oauth/token |
Demandes associées à des réseaux sociaux natifs et IP | 30 par minute |