Introduction à OpenID Connect

A propos de moi

• Karim Pinchon
• Développeur depuis ~10 ans
• Actuellement chez
• @kpn13

On va parler de ...

• pourquoi OAuth2 pour l'authentification c'est non
• en quoi OIDC est différent

Ce qu'on ne fera pas

• un cours sur OAuth2.0 ou OIDC
• rentrer dans les détails d'implémentation

OAuth 2.0

• délégation d’autorisation
• authentification

Exemples

• Tweetdeck
• CPA
• ...

Terminologie

• Resource owner
• Resource server
• Authorization server
• Client

Quels acteurs ?

Terminologie

• Access Token
• Refresh Token

Quels jetons ?

Grants

• authorization code
• client credentials
• password credentials
• implicit

PKCE

• App native
• SPA

Proof Key for Code Exchange

"PIXI"

Mais quel est le problème avec l'authentification ?

Et OpenID Connect, c'est quoi ?

Différences...

... de terminologie

Différences...

... de grant flow

Mais pas tant que ça !

• authorization code
• implicit
• hybrid

Différences...

... de jeton

id_token

Id_token

JWT

JWS

JWE

Id_token

{
  "typ": "JWT",
  "alg": "HS256"
}  
{
   "iss": "https://server.example.com",
   "sub": "24400320",
   "aud": "s6BhdRkqt3",
   "nonce": "n-0S6_WzA2Mj",
   "exp": 1602791273,
   "iat": 1602791273,
   "name": "Jane Doe",
   "given_name": "Jane",
   "family_name": "Doe"
}

+ signature

Id_token

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwczovL3NlcnZlci5leGFtcGxlLmNvbSIsImlhdCI6MTYwMjc5MTI3MywiZXhwIjoxNjM0MzI3MjczLCJhdWQiOiJzNkJoZFJrcXQzIiwic3ViIjoiMjQ0MDAzMjAiLCJub25jZSI6Im4tMFM2X1d6QTJNaiIsIm5hbWUiOiJhbmUgRG9lIiwiZ2l2ZW5fbmFtZSI6IkphbmUiLCJmYW1pbHlfbmFtZSI6IkRvZSJ9.YMHmas3dqMLhwD9WIymIrcwnAjgyU309Aak7n1BlUb0

Pour résumer...

Karim PINCHON - @kpn13

Merci pour votre attention !