Authentification par jeton akamai
Obtenir le jeton d’accès
Lorsqu’un utilisateur effectue une connexion, une inscription, une connexion sociale/inscription ou une fusion de compte social, il est recommandé de définir le paramètre dans l’appel d’API applicable sur :
Dans ce cas, la réponse réussie d’Akamai inclut un . Ce code peut ensuite être vérifié et échangé contre un jeton d’accès et un jeton d’actualisation à stocker dans la session d’application de l’utilisateur.
Ce flux de code d’autorisation est l’approche recommandée, standard et sécurisée de l’authentification de l’utilisateur. Il suppose que votre application, comme la plupart des applications web, est une application côté serveur qui n’expose pas publiquement son code source.
Que se passe-t-il si votre application n’est PAS côté serveur, par exemple s’il s’agit d’une application monopage (SPA) ? Dans ce cas, l’implémentation du flux de code d’autorisation n’est pas réalisable, car elle exposerait les informations d’identification qui doivent être gardés en sécurité. Au lieu de cela, vous pouvez définir le paramètre dans l’appel d’API correspondant sur :
Cela obligera Akamai à renvoyer directement un jeton d’accès, plutôt qu’un code d’autorisation. Bien qu’il ne s’agisse pas d’une bonne pratique en général, elle est prise en charge pour les cas d’utilisation qui l’exigent.
Échanger le code d’autorisation
Pour échanger le code d’autorisation, effectuez un appel au point de terminaison /oauth/token.
Contrairement aux appels précédents, le point de terminaison /oauth/token nécessite une autorisation de base à l’aide d’un ID client privilégié et d’un secret. En tant que tel, cet appel doit être effectué côté serveur .
Pour créer la valeur des informations d’identification d’authentification de base pour cet appel, l’ID client et la clé secrète de l’émetteur d’accès doivent être combinés avec deux points entre les deux (id :secret), puis encodés en Base64.
Comment créer l’en-tête d’authentification de base dans Postman
Postman créera la valeur d’informations d’identification d’authentification de base appropriée pour vous. Tout ce que vous avez à faire est de :
- Importez l’appel ci-dessous dans Postman
- Allez dans l’onglet Autorisation pour cet appel
- Sous Type , sélectionnez Authentification de base
- Entrez votre ID client de l’émetteur d’accès comme nom d’utilisateur et Secret comme mot de passe
Lorsque vous envoyez l’appel, Postman génère l’en-tête Authorization pour vous, ce qui remplace le modèle d’autorisation de l’appel importé.
| de réponse | Paramètre corporel | Résultat / Étape suivante |
|---|---|---|
| Un échange réussi () Le | jeton d’accès et le jeton d’actualisation sont renvoyés. Étape suivante : Stockez ces jetons dans la session utilisateur de votre application. | |
| Le code d’autorisation soumis | n’est pas reconnu ou n’est pas valide ; Fournir le chemin de résolution pour l’utilisateur |
Le est utilisé pour autoriser les appels à l’affichage et à la mise à jour du profil utilisateur. Il est valable 1 heure.
Si vous souhaitez prolonger la durée pendant laquelle un utilisateur peut interagir avec son profil utilisateur, vous pouvez l’échanger contre une nouvelle paire de jetons d’accès et d’actualisation. Voir la section suivante.
Jeton d’actualisation Exchange
Vous pouvez prolonger la durée pendant laquelle un utilisateur peut interagir avec son profil utilisateur, par exemple lorsque la session d’application de l’utilisateur dure plus de 1 heure. Cela se fait en remplaçant le par une nouvelle paire de jetons d’accès et d’actualisation.
vous peut actualiser le jeton d’accès quand vous le souhaitez. Cela peut signifier l’actualiser toutes les 59 minutes jusqu’à la fin de la session d’application de l’utilisateur. Une approche plus courante et moins transactionnelle consiste à l’actualiser lorsqu’un appel pour afficher/mettre à jour le profil de l’utilisateur répond avec une erreur. Lorsque cela se produit, vous pouvez d’abord vérifier que la session utilisateur de votre application est toujours active et, si c’est le cas, actualiser le jeton pour l’utilisateur et retenter l’appel.
Le jeton reçu d’Akamai est un jeton à usage unique qui n’expire pas tant qu’il n’a pas été utilisé (c’est-à-dire échangé).
Pour échanger le jeton d’actualisation, utilisez le point de terminaison /oauth/token avec le type d’autorisation.
| Réponse | Exemple Corps Param | Résultat / Prochaine étape |
|---|---|---|
| Échange réussi () | Le nouveau jeton d’accès et le jeton d’actualisation sont renvoyés. Étape suivante : Stockez ces jetons dans la session utilisateur de votre application. | |
| Jeton d’actualisation non valide | : Soumis n’est pas reconnu ou n’est pas valide ; Fournir un chemin de résolution à l’utilisateur |