OAuth2 & OIDC
TOSIAM implémente un serveur d’autorisation OAuth 2.0 / OpenID Connect complet, supportant huit grant types dont les plus récents (PAR, CIBA, Device Authorization, Token Exchange), les tokens stateless JWT, mTLS, et l’enregistrement dynamique de clients.
TOSIAM supporte huit grant types OAuth 2.0. Chaque grant type correspond à un scénario d’utilisation précis. Authorization Code (+ PKCE) Le flux standard pour les applications web et mobiles. Le client redirige l’utilisateur vers TOSIAM, reçoit un code d’autorisation, puis l’échange contre un access token. 1. GET /oauth2/{realm}/authorize ?response_type=code &client_id=mon-client &redirect_uri=https://app.example.com/callback &scope=openid email &code_challenge=... ← PKCE (recommandé) &code_challenge_method=S256 2. POST /oauth2/{realm}/access_token grant_type=authorization_code &code=AUTH_CODE &redirect_uri=https://app.example.com/callback &code_verifier=... ← PKCE PKCE (RFC 7636) est recommandé pour tous les clients, obligatoire pour les clients publics (SPA, mobile).
TOSIAM supporte deux modèles de tokens OAuth2 : stateful (stockés en CTS) et stateless (JWT autonomes). Le choix impacte la scalabilité, la révocation et la latence de validation. Tokens stateful (CTS) Par défaut, les access tokens sont des références opaques stockées dans le Core Token Store (CTS). La validation d’un token stateful nécessite une requête au CTS. Avantages : révocation immédiate, pas de risque de fuite de données dans le token.