Temas avanzados de OAuth 2.0

Estás viendo la documentación de Apigee Edge.
Ve a la Documentación de Apigee X.
información

Usa tokens de OAuth de terceros

Consulta Uso de herramientas de Tokens de OAuth.

Designa varias URL de devolución de llamada

Al usar el tipo de otorgamiento de código de autorización, debe especificar una URL de devolución de llamada cuando registrar tu app de desarrollador. La URL de devolución de llamada generalmente especifica la URL de una aplicación que designados para recibir un código de autorización en nombre de la app cliente. Además, esta URL para la validación. El cliente debe enviar esta URL a Apigee Edge cuando solicitar códigos de autorización y tokens de acceso, y el parámetro redirect_uri debe coincidir con la uno que esté registrado. Consulta también Solicita tokens de acceso y autorización infraestructura.

Por ejemplo:

http://myorg-test.apigee.net/weather/oauth/authorizationcode?client_id=123456&response_type=code&redirect_uri=http://example.com/callback&scope=scope1%20scope2&state=abc

Existe un caso de uso para especificar varias URL de devolución de llamada en una sola aplicación de proxy. Por ejemplo, es posible que desees autenticarte en varios dominios. Por ejemplo:

  • http://myexample.com/callback
  • http://myexample.uk/callback
  • http://myexample.ja/callback

Edge no admite la especificación de varias URL de devolución de llamada ni el uso de caracteres comodín cuando se app del desarrollador. Para lograr este caso de uso, puedes especificar una URL de devolución de llamada vacía. cuando registras una app de desarrollador y, luego, pones una lógica en una política de JavaScript para validar URI de redireccionamiento entrantes.

Cambia el comportamiento predeterminado para mostrar una operación GenerateAuthCode

De forma predeterminada, la operación GenerateAuthCode de la política OAuthV2 muestra un redireccionamiento 302 a la URL de devolución de llamada con un parámetro de consulta ?code que contiene el código de autorización.

En algunos casos, es posible que desees cambiar este comportamiento. Por ejemplo, podrías mostrar un 200 con JSON estructurado que contiene el código.

Para lograr este caso práctico, utiliza una política ExtractVariable a fin de recuperar el código y una política AssignMessage para mostrar el código en una carga útil JSON con un estado 200.

Audita el consentimiento del usuario final de la aplicación

Puede que se te solicite verificar si un usuario final de una aplicación autorizó una aplicación. Puedes usar la API de auditoría de Apigee Edge para hacerlo.

Muestra de OAuth saliente

Consulta la muestra outbound-oauth en el repositorio api-platform-samples de Apigee en GitHub. Puedes clonar la muestra, implementarla y ejecutarla. En este ejemplo, se usa la API de Microsoft Azure translator para traducir los tweets. Para ello, realiza una llamada saliente a fin de obtener un token de acceso de OAuth y, luego, almacena en caché el token mediante las políticas de almacenamiento en caché de los servicios de API y vuelve a usar el token almacenado en caché cada vez que se realiza una llamada saliente. Además, incluye una app de navegador de demostración que se usa para invocar el proxy de API.