¿Está buscando agregar inicio de sesión en la aplicación móvil usando las credenciales de WordPress? ¡El servidor/proveedor miniOrange OAuth 2.0 es la solución para usted! Las empresas utilizan SSO o inicio de sesión único desde hace más de una década. Ha sido bastante popular para aplicaciones basadas en web, pero para aplicaciones móviles; SSO ha sido una tarea compleja. Nuevas tecnologías y nociones utilizan el flujo OAuth 2.0; lo que permite a los usuarios realizar SSO de aplicaciones móviles sin problemas. A continuación se analizan algunas formas de lograrlo.

Descarga e instalación

• Inicie sesión en su instancia de WordPress como administrador.
• Ir a WordPress Panel de control -> Complementos y haga clic en Añadir nuevo.
• Buscar un WordPress Inicio de sesión único (SSO) del servidor OAuth complemento y haga clic en Instalar ahora .
• Una vez instalado, haga clic en Activar.

A continuación se detallan los tipos de subvenciones con los que se puede lograr el SSO móvil

1. Otorgamiento del código de autorización con PKCE Flow

PKCE o Proof Key for Code Exchange es una extensión de seguridad de OAuth 2.0 para aplicaciones móviles de inicio de sesión único (SSO) que utilizan el servidor WordPress. Su objetivo es evitar comprometer el client_secret. El flujo utiliza dos parámetros, el verificador de código y el desafío del código en lugar del secreto del cliente.

El flujo detallado de PKCE se describe a continuación:



• El verificador de código y el desafío de código se generan inicialmente antes de enviar un solicitud de autorización.
• Luego se forma una solicitud de autorización con tipo_respuesta, id_cliente, secreto_cliente, redirección_uri, desafío_código, y código_desafío_método como parámetros requeridos y estado y alcance como parámetros opcionales.
• La respuesta de autorización se recibe con un código de autorización después de que el usuario haya iniciado sesión y luego se redirige a la redirigir_uri previsto.
• El código de autorización y code_verifier se envían al punto final del tokent como una solicitud de token de acceso.
• El code_verifier luego se transforma usando el código_desafío_método para verificar los resultados con el code_challenge. Si coinciden, se verifica la solicitud del token de acceso y el token de acceso se recibe en la respuesta.
• La información del usuario se puede recuperar posteriormente utilizando el token de identificación o el punto final de información del usuario.

El flujo antes mencionado requiere que el usuario sea redirigido a su sitio de WordPress. Por lo tanto, se puede hacer de dos maneras: puede abrir una vista web dentro de su aplicación móvil o redirigir a los usuarios a la aplicación del navegador.

2. Flujo de concesión de contraseña del propietario del recurso

El flujo de concesión de contraseña del propietario del recurso utiliza las credenciales del usuario (por ejemplo, correo electrónico y contraseña) directamente y las envía en la solicitud POST de la aplicación. Luego, se devuelve a la aplicación una identificación o token de acceso con un token de actualización, que se puede recuperar directamente del id_token decodificandolo o enviando una llamada API al punto final de información de usuario mediante access_token.

El flujo detallado de la concesión de contraseña del propietario del recurso se describe a continuación:



• El usuario proporciona las credenciales (por ejemplo, correo electrónico y contraseña) para iniciar sesión en la aplicación móvil.
• La solicitud de token de acceso se envía luego con tipo_concesión, alcance, id_cliente, secreto_cliente, nombre de usuario, y la contraseña como los parámetros.
• La respuesta del token de acceso se recibe con un id_token o access_token dependiendo de alcance, expira_en, alcance y tipo_token.
• Después de la validación del token de acceso, se envía la solicitud de recurso, que devuelve el informacion del usuario en respuesta. Esta información de usuario también se puede recuperar utilizando el punto final de información de usuario.

Recursos adicionales

• Inicio de sesión único (SSO) del servidor OAuth
• SSO para aplicaciones móviles con OpenID Connect

Si tiene alguna pregunta o consulta o desea analizar su caso de uso, no dude en comunicarse con nosotros en oauthsupport@xecurify.com Le proporcionaremos una demostración y le mostraremos el funcionamiento de la solución para que esté 100% seguro de ella antes de decidirse a comprarla.