Cherchez-vous à ajouter une connexion à une application mobile à l’aide des informations d’identification WordPress ? Le serveur/fournisseur miniOrange OAuth 2.0 est la solution pour vous ! Le SSO ou Single Sign-On est utilisé par les entreprises depuis plus d’une décennie maintenant. Il a été très populaire pour les applications Web, mais aussi pour les applications mobiles ; Le SSO a été une tâche complexe. Les nouvelles technologies et notions utilisent le flux OAuth 2.0 ; qui permet aux utilisateurs d’effectuer le SSO d’application mobile de manière transparente. Quelques façons d’y parvenir sont discutées ci-dessous.

Téléchargement et installation

• Connectez-vous à votre instance WordPress en tant qu'administrateur.
• Aller sur WordPress Tableau de bord -> Plugins et cliquez sur Ajouter un nouveau véhicule .
• Rechercher un WordPress Authentification unique (SSO) du serveur OAuth plugin et cliquez sur Installer maintenant.
• Une fois installé cliquez sur Activer.

Vous trouverez ci-dessous les types de subventions avec lesquelles le Mobile SSO peut être réalisé

1. Octroi de code d'autorisation avec PKCE Flow

PKCE ou Proof Key for Code Exchange est une extension de sécurité d'OAuth 2.0 pour les applications mobiles Single Sign-On (SSO) utilisant le serveur WordPress. Il est destiné à éviter de compromettre le client_secret. Le flux utilise deux paramètres, le vérificateur de code et la contestation de code, au lieu du secret client.

Le flux détaillé de PKCE est décrit ci-dessous :



• Le vérificateur de code et le défi de code sont générés initialement avant l'envoi d'un demande d'autorisation.
• Une demande d'autorisation est alors formée avec réponse_type, client_id, client_secret, redirect_uri, code_challenge, ainsi que code_challenge_method comme paramètres requis et l'état et la portée comme paramètres facultatifs.
• La réponse d'autorisation est reçue avec un code d'autorisation une fois que l'utilisateur s'est connecté et est ensuite redirigée vers le redirect_uri à condition de.
• Le code d'autorisation et code_verifier sont envoyés au point de terminaison du jetont comme demande de jeton d’accès.
• Le code_verifier est ensuite transformé à l'aide du code_challenge_method pour vérifier les résultats par rapport au code_challenge. S'ils correspondent, la demande de jeton d'accès est vérifiée et le jeton d'accès est reçu dans la réponse.
• Les informations utilisateur peuvent être récupérées ultérieurement à l'aide du jeton d'identification ou du point de terminaison des informations utilisateur.

Le flux susmentionné nécessite que l'utilisateur soit redirigé vers votre site WordPress. Cela peut donc être fait de 2 manières : soit vous pouvez ouvrir une vue Web dans votre application mobile, soit rediriger les utilisateurs vers l'application du navigateur.

2. Flux d'attribution du mot de passe du propriétaire de la ressource

Le flux d'attribution du mot de passe du propriétaire de la ressource utilise directement les informations d'identification de l'utilisateur (par exemple, e-mail et mot de passe) et les envoie dans la requête POST de l'application. Ensuite, un identifiant ou un jeton d'accès avec un jeton d'actualisation est renvoyé à l'application, qui peut être récupéré directement à partir du id_token en le décodant ou en envoyant un appel API au point de terminaison userinfo à l'aide du access_token.

Le flux détaillé de l’attribution du mot de passe du propriétaire de la ressource est décrit ci-dessous :



• L'utilisateur fournit les informations d'identification (par exemple, e-mail et mot de passe) pour la connexion à l'application mobile.
• La demande de jeton d'accès est ensuite envoyée avec grant_type, scope, client_id, client_secret, nom d'utilisateur, ainsi que Mot de passe comme les paramètres.
• La réponse du jeton d'accès est reçue avec un id_token ou access_token en fonction de la scope, expires_in, scope et token_type.
• Après validation du jeton d'accès, la requête de ressource est envoyée, qui renvoie le informations sur l'utilisateur en réponse. Ces informations utilisateur peuvent également être récupérées à l’aide du point de terminaison d’informations utilisateur.

Ressources additionnelles

• Authentification unique du serveur OAuth (SSO)
• SSO pour les applications mobiles avec OpenID Connect

Si vous avez des questions ou des requêtes ou si vous souhaitez discuter de votre cas d'utilisation, n'hésitez pas à nous contacter à oauthsupport@xecurify.com nous vous fournirons une démo et vous montrerons le fonctionnement de la solution afin que vous soyez sûr à 100 % de la solution avant de décider de l'acheter.