OAuth 2.0: Der Device Authorization Flow

Der Device Authorization Flow wird verwendet, wenn der Client, der eine Autorisierung erhalten möchte, beschränkte Eingabemöglichkeiten besitzt, z.B. keinen Browser oder sonstiges zur Verfügung stellt.

Denkbar sind hier SmartTVs, IOT Devices etc. 

1 und 2) Beim Start des Autorisierungsvorgangs sendet der Resource Owner (Hier der Benutzer) über die App des IOT Device eine Autorisierungsanfrage an den Autorisierungs Server. Diese Autorisierungsanfrage enthält die Client ID.

3 und 4) Der Authorization Server antwortet daraufhin mit einer Verification URL und einem User Code, die dem Resource Owner angezeigt wird (Dies kann auch ein QR Code sein).

5) Der Client (IOT Device) frägt jetzt in regelmäßigen Abschnitten den Authorization Server an und frägt ob er ein Access Token erhält.

6) Auch der Authorization Server überprüft in regelmäßigen Abschnitten, ob der Resource Owner (Benutzer) den Client (IOT Device) autorisiert hat.

Separater Prozess:

Der Benutzer besucht auf seinem Smartphone oder sonst. die URL, gibt den angezeigten User Code dort ein und bestätigt die Autorisierung.

7) Der Authorization Server stellt dem Client (IOT Device) das Access Token aus.

8) Anfrage der Resource beim Resource Server (API Server) mit dem Access Token

Möchten Sie Oauth 2.0 für die Authorisierung eines IOT Device oder Smart TV verwenden.

Lohnt es sich den Device Authorization Flow genauer anzuschauen, dieser bildet dieses Szenario ab.

Quellen

• https://auth0.com/docs/get-started/authentication-and-authorization-flow/device-authorization-flow
• https://oauth.net/2/device-flow/
• https://www.authlete.com/developers/device_flow