Problème avec authentification OAuth2 en 4.2, fonctionne en 4.1

Moi j’ai dans un plugin le même flow (authorization code grant flow), j’ai le même genre de page.
Le state n’est pas dans la session mais dans le cache, avec une validité limité. J’ai mis 10min, pas plus que le temps pour l’utilisateur de se log sur le système distant.

Et dès qu’un appel est reçu sur cette page, je supprime le state du cache, qu’il corresponde à celui reçu dans la requête ou pas ainsi pas de replay possible.

Après je fetch le token etc et je redirige le user sur la page de config aussi

mais donc jamais je ne vérifie si le user est authentifié sur jeedom → le controle sur le state, ainsi que la validité du code d’authorization suffit à trust le token que tu recois, que le user ait une session valide sur jeedom va pas changer grand chose, de toute façon cette page ne permet rien sur jeedom

@Loic, un flow OAuth c’est quand même assez courant (et de plus en plus), on ne peut qu’encourager les devs à l’utiliser
On pourrait pas déclarer dans le json du plugin une page sur laquelle les redirection externe sont autorisées ainsi on déclare explicitement la page de callback? cela ne sera que plus sécure si en plus on peut valider que le user est connecté.

3 « J'aime »