Attribution des informations d’identification du mot de passe de propriétaire de ressource
La configuration d’une attribution d’informations d’identification du mot de passe du propriétaire de ressource OAuth (ROPC) permet aux applications d’authentifier les utilisateurs en utilisant directement leurs informations d’identification pour obtenir un jeton d’accès.
Considérations de sécurité
Le flux ROPC expose les informations d’identification de l’utilisateur directement à l’application cliente, ce qui le rend intrinsèquement moins sécurisé que les alternatives modernes. Elle ne doit être utilisée que dans des scénarios où le client bénéficie d’une confiance totale, d’un contrôle étroit et d’une gestion sécurisée.
Évitez d’utiliser cette subvention dans les applications modernes, sauf en cas d’absolue nécessité. Pour un accès sécurisé basé sur l’utilisateur, il est fortement recommandé d’utiliser le flux de code d’autorisation avec PKCE, qui empêche les informations d’identification d’entrer dans le client et exploite les pratiques de redirection sécurisée et de gestion des jetons.