¶ Authentification OAuth2 avec Churros
Pour l'instant seul le flow "Authorization code" de OAuth2 est supporté.
¶ Pour un service existant
¶ Création de l'appli
- Se rendre sur https://churros.inpt.fr/developers/apps
- Créer une appli
- Renseigner l'URI de redirection donnée par le service dans les URIs de redirection autorisées.
- Copier les deux identifiants (client_id, et surtout
client_secret, on ne peut l'obtenir qu'en en générant un nouveau, ce qui invalide l'ancien).
¶ Configuration du service
- URL d'autorisation https://churros.inpt.fr/authorize
- URL de récupération du token https://churros.inpt.fr/token
- URL de récupération d'informations sur l'utilisateur https://churros.inpt.fr/identity
¶ Informations récupérables depuis /identity
uid: nom d'utilisateur·ice unique (le "@")email: adresse emailldapInternalEmail: adresse email en@bde.enseeiht.fr(pour les n7iens)fullName: nom d'affichagefirstName: prénomlastName: nom de famillegroupsUids: uids des groupes dont l'utilisateur·ice est membre
et potentiellement d'autres à venir
¶ Pour ton service que tu développes
¶ Création de l'appli
-
Se rendre sur https://churros.inpt.fr/developers/apps
-
Créer une appli
- Choisir une URL sur ton domaine sur laquelle sera redirigé le navigateur après acceptation de la connexion à Churros, c'est l'URI de redirection. La renseigner dans les "URIs de redirection autorisées". On peut en mettre plusieurs, donc ça vaut le coup de mettre une en
localhostpour tester, et aussi celle du site en ligne.
- Choisir une URL sur ton domaine sur laquelle sera redirigé le navigateur après acceptation de la connexion à Churros, c'est l'URI de redirection. La renseigner dans les "URIs de redirection autorisées". On peut en mettre plusieurs, donc ça vaut le coup de mettre une en
-
Copier les deux identifiants (client_id, et surtout
client_secret, on ne peut l'obtenir qu'en en générant un nouveau, ce qui invalide l'ancien).
¶ Utilisation
¶ Bibliothèques
On met à ta disposition des bibliothèques dans plusieurs langages pour éviter de devoir gérer tout ça à la main.
- PHP: (du code à copier-coller plutôt): SOON™
- Python: https://pypi.org/project/churros
- NodeJS: https://npmjs.com/package/@inp-net/churros-client
Hésites pas à demander à net7 par mail (contact@net7.dev) ou à passer au local si t'a besoin d'aide 
¶ À la main
L'authentification par OAuth se fait en plusieurs étapes.
- La personne va sur la page de connexion de ton service
- Tu la redirige vers
churros.inpt.fr/authorizepour lui demander d'autoriser ton service à accéder à son compte Churros.
Tu fournis dans l'URL ces paramètres:
client_id: celui que tu as obtenu en créant l'appliresponse_type:code(c'est le seul type de réponse que supporte Churros pour le moment)redirect_uri: l'URL vers où Churros doit renvoyer l'utilisateur·ice (continues à lire pour comprendre)
Donc en somme tu redirige vers, par exemple:
https://churros.inpt.fr/login?client_id=abcdefg&response_type=code&redirect_uri=https://7calibur.fr/login/callback
En supposant que client_id est abcdefg et que tu veux rediriger vers https://7calibur.fr/login/callback
- Si la personne accepte, Churros la renvoie sur ton site avec un code dans l'URL, c'est le code d'authorisation
Par exemple, tu reçois une requête de la part de l'utilisateur·ice sur
https://7calibur.fr/login/callback?code=loremipsum
Le code d'authorisation est dans ce cas loremipsum.
- Maintenant que tu as ce code, ton service peut aller demande à Churros, sans passer par l'utilisateur·ice, un Token d'accès, qui te permettra de faire des requêtes à l'API de Churros en son nom.
Il faut faire une requête POST vers https://churros.inpt.fr/token
En passant dans le corps de la requête:
?code=loremipsum&grant_type=authorization_code&redirect_uri=https://7calibur.fr/login/callback
et en précisant l'en-tête Authorization, qui prend pour valeur Basic BASE64, où BASE64 est la version encodée en base 64 de client_id:client_secret (avec client_id et client_secret les deux valeurs obtenues à la création de l'appli).
- Tu peux maintenant utiliser l'API de Churros, et l'utilisateur·ice n'a jamais eu à rentrer son mot de passe.