Applications confidentielles et publiques

Selon la Spécification OAuth 2.0, les applications peuvent être classées comme confidentielles ou publiques. Différence principale : si une application a ou non la capacité de contenir des identifiants (comme ID client et secret) de manière sécurisée. Cela affecte le type d’authentification utilisée par l’application.

Lorsque vous créez une application avec le Tableau de bord, Auth0 vous demande le type d’application que vous souhaitez affecter à cette nouvelle application et utilise cette information pour déterminer si l’application est confidentielle ou publique.

Pour en savoir plus, consulter Vérification du caractère confidentiel ou public d’une application.

Les applications confidentielles peuvent conserver des identifiants de manière sécurisée sans les exposer à des parties non autorisées. Elles exigent un serveur dorsal pour stocker le ou les secrets.

Les applications confidentielles utilisent un serveur dorsal de confiance et peuvent utiliser des types d’autorisation exigeant de spécifier leur ID Client et Secret client (ou autres identifiants enregistrés alternatifs) pour s’authentifier en appelant le point de terminaison Obtenir un jeton de l’Authentication API Auth0. Les applications confidentielles peuvent utiliser les méthodes d’authentification Publication du secret client JWT, Secret client de base ou Clé privée JWT.

Les applications suivantes sont considérées comme des applications confidentielles :

• Une application web avec un système dorsal sécurisé qui utilise leFlux de code d’autorisation, Flux de mot de passe du propriétaire de ressource ou Flux de mot de passe du propriétaire de ressource avec soutien de partition

• Une application de communication entre machines (M-M) qui utilise le Flux des identifiants client

Étant donné que les applications confidentielles sont capables de stocker les secrets, vous pouvez leur émettre des jetons d'ID lorsqu’ils sont connectés de l’une de deux façons :

• Symétriquement, en utilisant le secret client (HS256)

• Asymétriquement, en utilisant une clé privée (RS256)

Applications publiques ne peuvent pas détenir les identifiants en toute sécurité.

Les applications publiques ne peuvent utiliser que les types d’autorisation ne demandant pas d’utiliser leur secret client. Elles ne peuvent envoyer de secret client parce qu’elles ne peuvent pas conserver la confidentialité et les identifiants nécessaires.

Ces applications sont publiques :

• Une application de bureau ou mobile native qui utilise Flux de code d’autorisation avec PKCE

• Une application web côté client basée sur JavaScript (telle qu’une application à page unique) qui utilise le flux d’autorisation implicite

Les applications publiques ne pouvant contenir de secrets, les jetons d’ID qui leur sont délivrés doivent être :

• Signés asymétriquement, en utilisant une clé privée (RS256)

• Vérifiés à l’aide de la clé publique correspondant à la clé privée utilisée pour signer le jeton

• Vérification du caractère confidentiel ou public d’une application
• Applications de première et de tierce partie
• User Consent and Third-Party Applications (Consentement de l’utilisateur et applications tierces)