En-tête d'autorisation OAuth 2.0

Question

Je veux développer un SDK qui encapsule les fonctions OAuth 2.0. J'ai vérifié les différences entre OAuth 1.0 & 2.0, et j'ai une certaine confusion sur l'Authorization Header ( 1.0 y 2.0 ), les paramètres du protocole OAuth 1.0 peuvent être transmis à l'aide de l'en-tête HTTP "Authorization", mais je ne trouve pas cette description dans le projet actuel d'OAuth 2.0.

OAuth 2.0 prend-il en charge les en-têtes d'autorisation ?

Dans OAuth 1.0 votre en-tête ressemblerait à :

Authorization: OAuth realm="Example",
    oauth_consumer_key="0685bd9184jfhq22",
    oauth_token="ad180jjd733klru7",
    oauth_signature_method="HMAC-SHA1",
    oauth_signature="wOJIO9A2W5mFwDgiDvZbTSMK%2FPY%3D",
    oauth_timestamp="137131200",
    oauth_nonce="4572616e48616d6d65724c61686176",
    oauth_version="1.0"

Answer 1

Pour ceux qui cherchent un exemple de la manière de transmettre l'autorisation OAuth2 (jeton d'accès) dans l'en-tête (par opposition à l'utilisation d'un paramètre de la requête ou du corps), voici comment procéder :

Authorization: Bearer 0b79bab50daca910b000d4f1a2b675d604257e42

Answer 2

Vous pouvez toujours utiliser l'en-tête d'autorisation avec OAuth 2.0. Un type Bearer est spécifié dans l'en-tête Authorization pour être utilisé avec les jetons OAuth bearer (ce qui signifie que l'application cliente doit simplement présenter ("porter") le jeton). La valeur de l'en-tête est le jeton d'accès que le client a reçu du serveur d'autorisation.

C'est documenté dans cette spécification : https://www.rfc-editor.org/rfc/rfc6750#section-2.1

Par exemple :

   GET /resource HTTP/1.1
   Host: server.example.com
   Authorization: Bearer mF_9.B5f-4.1JqM

Où mF_9.B5f-4.1JqM est votre jeton d'accès OAuth.