OAuth 2.0 es un protocolo de autorización. Permite a una aplicación de terceros obtener el acceso a un servicio HTTP, ya sea en nombre del propietario de un recurso, al organizar una interacción de aprobación entre el propietario del recurso y el servicio HTTP, o permitiendo a la aplicación de terceros obtener acceso en su propio nombre.
OAuth 2.0 se centra en:
•Brindar flujos de autorización para limitar el acceso a un servicio. Los flujos de autorización están pensados para ser utilizados por aplicaciones web, aplicaciones de escritorio, teléfonos celulares y dispositivos de salas (dormitorios, salas de estar, etc).
•Brindar scopes para especificar a qué se solicita acceso por parte de la aplicación y a qué se autoriza acceder por parte del propietario del recurso que se accede.
Flujos de Autorización (Flow Grant Types)
Los flujos de OAuth (grant types) hacen referencia al modo en que una aplicación obtiene un token de acceso que le permite acceder a los recursos expuestos a través de una API. La existencia de estos flujos por parte del estándar surge para dar respuesta a todos los escenarios de negocio que se pueden presentar en el consumo de las APIs atendiendo a tres variables:
•El tipo de aplicación consumidora.
•Su grado de confianza.
•Cómo es la interacción por parte del propietario del recurso (resource owner) en el proceso.
Flujos de Autorización Disponibles en Deyel
En Deyel se encuentran disponibles los siguientes flujos de autorización:
•Client Credentials
Este flujo es utilizado para consumir los objetos expuestos en el API Rest. El cliente puede solicitar un token de acceso utilizando solo sus credenciales de cliente cuando solicita acceso a los recursos protegidos bajo su control.
•Resource Owner Password
Al igual que el flujo anterior, éste es utilizado para consumir los objetos expuestos en el API Rest. El flujo es adecuado para clientes capaces de obtener las credenciales del propietario del recurso (nombre de usuario y contraseña, normalmente mediante un formulario interactivo) y trabajar en nombre de él con sus recursos protegidos.
•Refresh Token
Se utiliza para refrescar los token de acceso. Esto significa que aquellos tokens de acceso que expiren o se invaliden, deben ser intercambiados utilizando este flujo por uno nuevo. Se utiliza en aquellas autorizaciones con el flujo Resource Owner Password.
