Fournisseurs OAuth2 génériques

Copiez un prompt de configuration avec les étapes d'installation et le guide markdown complet pour ce plugin.

Introduction

Le plugin de connexion sociale Capgo comprend un moteur OAuth2 et OpenID Connect intégré. Vous pouvez l'utiliser pour vous connecter à tout fournisseur d'identité conforme aux normes, notamment :

GitHub
Azure AD / Microsoft Entra ID
Auth0
Okta
Keycloak
Serveurs OIDC ou OAuth2 personnalisés

Le oauth2 La configuration est multi-fournisseur par conception. Vous pouvez enregistrer plusieurs fournisseurs à la fois et sélectionner ensuite un à l'heure du connexion avec providerId.

Ce dont vous avez besoin

Avant de configurer un fournisseur, collectez :

Votre ID client OAuth
Une URL de redirection qui correspond à votre schéma d'application ou à l'URL de rappel web
Un point de terminaison d'autorisation
Un point de terminaison de jeton pour le flux d'autorisation code ou un issuerUrl pour la découverte OIDC
Les étendues dont votre application a besoin, telles que openid profile email

Configuration multi-fournisseur

Utilisez SocialLogin.initialize() une fois pendant le démarrage de l'application et enregistrez chaque fournisseur dont vous avez besoin :

import { SocialLogin } from '@capgo/capacitor-social-login';

await SocialLogin.initialize({
  oauth2: {
    github: {
      appId: 'your-github-client-id',
      authorizationBaseUrl: 'https://github.com/login/oauth/authorize',
      accessTokenEndpoint: 'https://github.com/login/oauth/access_token',
      redirectUrl: 'myapp://oauth/github',
      scope: 'read:user user:email',
      pkceEnabled: true,
      resourceUrl: 'https://api.github.com/user',
    },
    azure: {
      appId: 'your-azure-client-id',
      authorizationBaseUrl: 'https://login.microsoftonline.com/common/oauth2/v2.0/authorize',
      accessTokenEndpoint: 'https://login.microsoftonline.com/common/oauth2/v2.0/token',
      redirectUrl: 'myapp://oauth/azure',
      scope: 'openid profile email User.Read',
      pkceEnabled: true,
      resourceUrl: 'https://graph.microsoft.com/v1.0/me',
    },
    auth0: {
      issuerUrl: 'https://your-tenant.auth0.com',
      appId: 'your-auth0-client-id',
      redirectUrl: 'myapp://oauth/auth0',
      scope: 'openid profile email offline_access',
      pkceEnabled: true,
      additionalParameters: {
        audience: 'https://your-api.example.com',
      },
    },
  },
});

Découverte OIDC et alias

Si votre fournisseur expose un document de découverte OpenID Connect, issuerUrl est le plus simple à mettre en œuvre :

await SocialLogin.initialize({
  oauth2: {
    keycloak: {
      issuerUrl: 'https://sso.example.com/realms/mobile',
      clientId: 'mobile-app',
      redirectUrl: 'myapp://oauth/keycloak',
      scope: 'openid profile email offline_access',
      pkceEnabled: true,
    },
  },
});

Le plugin prend également en charge les alias OAuth et OIDC courants :

clientId comme un alias de appId
authorizationEndpoint comme un alias de authorizationBaseUrl
tokenEndpoint comme un alias de accessTokenEndpoint
endSessionEndpoint comme un alias de logoutUrl
scopes comme un alias de scope

Disponible également :

additionalParameters pour les overrides de requêtes d'authentification
additionalTokenParameters pour les overrides d'échange de jetons
additionalResourceHeaders pour les en-têtes d'endpoint de ressources personnalisées
additionalLogoutParameters et postLogoutRedirectUrl pour les flux de déconnexion
loginHint, prompt, et iosPrefersEphemeralSession

Préférences compatibles avec Auth Connect

Si vous migrez de Ionic Auth Connect et que vous souhaitez conserver les mêmes noms de fournisseur, utilisez SocialLoginAuthConnect.

import { SocialLoginAuthConnect } from '@capgo/capacitor-social-login';

await SocialLoginAuthConnect.initialize({
  authConnect: {
    auth0: {
      domain: 'https://your-tenant.auth0.com',
      clientId: 'your-auth0-client-id',
      redirectUrl: 'myapp://oauth/auth0',
      audience: 'https://your-api.example.com',
    },
    azure: {
      tenantId: 'common',
      clientId: 'your-azure-client-id',
      redirectUrl: 'myapp://oauth/azure',
    },
    okta: {
      issuer: 'https://dev-12345.okta.com/oauth2/default',
      clientId: 'your-okta-client-id',
      redirectUrl: 'myapp://oauth/okta',
    },
  },
});

Identifiants de fournisseur de configurations prédéfinies supportées :

auth0
azure
cognito
okta
onelogin

Si un fournisseur nécessite des points de terminaison personnalisés, vous pouvez soit les surcharger dans la configuration prédéfinie, soit contourner les configurations prédéfinies et configurer le fournisseur directement dans oauth2.

Options de configuration

Option	Type	Obligatoire	Description
`appId` / `clientId`	chaîne	Oui	Identifiant client OAuth2
`issuerUrl`	string	Non	URL de base de découverte OIDC
`authorizationBaseUrl` / `authorizationEndpoint`	string	Oui*	URL de l'endpoint d'autorisation
`accessTokenEndpoint` / `tokenEndpoint`	string	Non*	URL de l'endpoint de jeton
`redirectUrl`	string	Oui	URL de rappel
`scope` / `scopes`	chaîne / chaîne[]	Non	Portées requises
`pkceEnabled`	booléen	Non	Par défaut à `true`
`responseType`	`'code'` ou `'token'`	Non	Par défaut à `'code'`
`resourceUrl`	chaîne	Non	Informations de l'utilisateur ou point de terminaison de ressource
`logoutUrl` / `endSessionEndpoint`	string	Non	URL de déconnexion ou de fin de session
`postLogoutRedirectUrl`	string	Non	URL de redirection après déconnexion
`additionalParameters`	`Record<string, string>`	Non	Paramètres supplémentaires de requête d'authentification
`additionalTokenParameters`	`Record<string, string>`	Non	Paramètres supplémentaires de requête de jeton
`additionalResourceHeaders`	`Record<string, string>`	Non	En-têtes supplémentaires pour `resourceUrl`
`additionalLogoutParameters`	`Record<string, string>`	Non	Paramètres de déconnexion supplémentaires
`loginHint`	chaîne	Non	Raccourci pour `additionalParameters.login_hint`
`prompt`	chaîne	Non	Raccourci pour `additionalParameters.prompt`
`iosPrefersEphemeralSession`	booléen	Non	Préférez une session de navigateur éphémère sur iOS
`logsEnabled`	booléen	Non	Activer la journalisation de débogage détaillée

authorizationBaseUrl et accessTokenEndpoint sont facultatifs uniquement lorsque issuerUrl est suffisant pour la découverte. Les points de terminaison explicites l'emportent toujours sur les valeurs découvertes.

const result = await SocialLogin.login({
  provider: 'oauth2',
  options: {
    providerId: 'github',
    scope: 'read:user user:email',
    loginHint: 'user@example.com',
  },
});

Flux de redirection sur le web

Utilisez flow: 'redirect' si vous souhaitez un redirigeement de page complète au lieu d'un popup :

await SocialLogin.login({
  provider: 'oauth2',
  options: {
    providerId: 'auth0',
    flow: 'redirect',
  },
});

Sur la page qui reçoit l'appel de retour, analysez le résultat de connexion :

const result = await SocialLogin.handleRedirectCallback();
if (result?.provider === 'oauth2') {
  console.log(result.result.providerId);
}

const status = await SocialLogin.isLoggedIn({
  provider: 'oauth2',
  providerId: 'github',
});

await SocialLogin.logout({
  provider: 'oauth2',
  providerId: 'github',
});

Les jetons de rafraîchissement

await SocialLogin.refresh({
  provider: 'oauth2',
  options: {
    providerId: 'github',
  },
});

const refreshed = await SocialLogin.refreshToken({
  provider: 'oauth2',
  providerId: 'github',
  refreshToken: 'existing-refresh-token',
});

refresh() utilise le jeton de rafraîchissement stocké par le plugin. refreshToken() vous permet de passer un jeton de rafraîchissement vous-même et renvoie la réponse OAuth2 fraîche.

Obtenez le jeton d'accès actuel

const code = await SocialLogin.getAuthorizationCode({
  provider: 'oauth2',
  providerId: 'github',
});

console.log(code.accessToken);

Exemples spécifiques au fournisseur

GitHub exemple

Utilisez GitHub lorsque vous souhaitez un flux d'application OAuth simple et des données de profil de base :

await SocialLogin.initialize({
  oauth2: {
    github: {
      appId: 'your-github-client-id',
      authorizationBaseUrl: 'https://github.com/login/oauth/authorize',
      accessTokenEndpoint: 'https://github.com/login/oauth/access_token',
      redirectUrl: 'myapp://oauth/github',
      scope: 'read:user user:email',
      pkceEnabled: true,
      resourceUrl: 'https://api.github.com/user',
    },
  },
});

const githubResult = await SocialLogin.login({
  provider: 'oauth2',
  options: {
    providerId: 'github',
  },
});

console.log(githubResult.result.accessToken?.token);
console.log(githubResult.result.resourceData);

Exemple Azure AD / Microsoft Entra ID

Utilisez Azure lorsque vous avez besoin de données Microsoft Graph telles que le profil de l'utilisateur :

await SocialLogin.initialize({
  oauth2: {
    azure: {
      appId: 'your-azure-client-id',
      authorizationBaseUrl: 'https://login.microsoftonline.com/common/oauth2/v2.0/authorize',
      accessTokenEndpoint: 'https://login.microsoftonline.com/common/oauth2/v2.0/token',
      redirectUrl: 'myapp://oauth/azure',
      scope: 'openid profile email User.Read',
      pkceEnabled: true,
      resourceUrl: 'https://graph.microsoft.com/v1.0/me',
    },
  },
});

const azureResult = await SocialLogin.login({
  provider: 'oauth2',
  options: {
    providerId: 'azure',
  },
});

console.log(azureResult.result.idToken);
console.log(azureResult.result.resourceData);

Exemple d'Auth0

Auth0 est un bon choix lorsque vous avez besoin d'OIDC plus d'un public personnalisé : API

await SocialLogin.initialize({
  oauth2: {
    auth0: {
      appId: 'your-auth0-client-id',
      authorizationBaseUrl: 'https://your-tenant.auth0.com/authorize',
      accessTokenEndpoint: 'https://your-tenant.auth0.com/oauth/token',
      redirectUrl: 'myapp://oauth/auth0',
      scope: 'openid profile email offline_access',
      pkceEnabled: true,
      additionalParameters: {
        audience: 'https://your-api.example.com',
      },
    },
  },
});

const auth0Result = await SocialLogin.login({
  provider: 'oauth2',
  options: {
    providerId: 'auth0',
    flow: 'redirect',
  },
});

Si vous utilisez la méthode de redirection sur le web, récupérez le résultat sur la page de rappel :

const auth0Result = await SocialLogin.handleRedirectCallback();
if (auth0Result?.provider === 'oauth2') {
  console.log(auth0Result.result.idToken);
}

Exemple d'Okta

await SocialLogin.initialize({
  oauth2: {
    okta: {
      appId: 'your-okta-client-id',
      authorizationBaseUrl: 'https://your-domain.okta.com/oauth2/default/v1/authorize',
      accessTokenEndpoint: 'https://your-domain.okta.com/oauth2/default/v1/token',
      redirectUrl: 'myapp://oauth/okta',
      scope: 'openid profile email offline_access',
      pkceEnabled: true,
      resourceUrl: 'https://your-domain.okta.com/oauth2/default/v1/userinfo',
    },
  },
});

const oktaResult = await SocialLogin.login({
  provider: 'oauth2',
  options: {
    providerId: 'okta',
  },
});

console.log(oktaResult.result.resourceData);

Exemple de Keycloak

Utilisez la découverte lorsque votre fournisseur publie /.well-known/openid-configuration:

await SocialLogin.initialize({
  oauth2: {
    keycloak: {
      issuerUrl: 'https://sso.example.com/realms/mobile',
      clientId: 'mobile-app',
      redirectUrl: 'myapp://oauth/keycloak',
      scope: 'openid profile email offline_access',
      pkceEnabled: true,
    },
  },
});

const keycloakResult = await SocialLogin.login({
  provider: 'oauth2',
  options: {
    providerId: 'keycloak',
  },
});

console.log(keycloakResult.result.idToken);

Forme de la réponse OAuth2

Les logins OAuth2 réussis retournent :

Champ	Description
`providerId`	La clé de fournisseur configurée utilisée pour la connexion
`accessToken`	Le payload du jeton d'accès ou `null`
`idToken`	Le jeton d'identification OIDC si le fournisseur l'a retourné
`refreshToken`	Le jeton de rafraîchissement si les scopes demandés le permettaient
`resourceData`	Données JSON brutes récupérées à partir de `resourceUrl`
`scope`	Scopes concédés
`tokenType`	Généralement `bearer`
`expiresIn`	Durée de vie du jeton en secondes

Référence de configuration du fournisseur

GitHub

Créer une application OAuth Ouvrir GitHub Paramètres du développeur et créer une nouvelle application OAuth.
Définir l'URL de rappel Utilisez l'URL de redirection de votre application, par exemple myapp://oauth/github.

Configurer le plugin

await SocialLogin.initialize({
  oauth2: {
    github: {
      appId: 'your-github-client-id',
      authorizationBaseUrl: 'https://github.com/login/oauth/authorize',
      accessTokenEndpoint: 'https://github.com/login/oauth/access_token',
      redirectUrl: 'myapp://oauth/github',
      scope: 'read:user user:email',
      pkceEnabled: true,
      resourceUrl: 'https://api.github.com/user',
    },
  },
});

Azure AD / ID Microsoft Entra

Inscrire une application Allez sur le Portail Azure, ouvrez App registrations, et créez une inscription d'application native ou mobile.
Ajoutez l'URI de redirection Ajoutez une URI de redirection mobile ou de bureau qui correspond à l'URL de rappel de votre application.

Configurer le plugin

await SocialLogin.initialize({
  oauth2: {
    azure: {
      appId: 'your-azure-client-id',
      authorizationBaseUrl: 'https://login.microsoftonline.com/common/oauth2/v2.0/authorize',
      accessTokenEndpoint: 'https://login.microsoftonline.com/common/oauth2/v2.0/token',
      redirectUrl: 'myapp://oauth/azure',
      scope: 'openid profile email User.Read',
      pkceEnabled: true,
      resourceUrl: 'https://graph.microsoft.com/v1.0/me',
    },
  },
});

Auth0

Créer une application native Ouvrez le Tableau de bord Auth0 et créez une application Native.
Définir les URL de rappel autorisées Ajoutez l'URL de redirection exacte utilisée par votre Capacitor application.

Configurez le plugin

await SocialLogin.initialize({
  oauth2: {
    auth0: {
      appId: 'your-auth0-client-id',
      authorizationBaseUrl: 'https://your-tenant.auth0.com/authorize',
      accessTokenEndpoint: 'https://your-tenant.auth0.com/oauth/token',
      redirectUrl: 'myapp://oauth/auth0',
      scope: 'openid profile email offline_access',
      pkceEnabled: true,
      additionalParameters: {
        audience: 'https://your-api.example.com',
      },
      logoutUrl: 'https://your-tenant.auth0.com/v2/logout',
    },
  },
});

Okta

Créer une application native OIDC Dans le console d'administration Okta, créez une application native OIDC.
Ajoutez votre URI de redirection Enregistrez l'URL de rappel exacte utilisée par votre application.

Configurez le plugin

await SocialLogin.initialize({
  oauth2: {
    okta: {
      appId: 'your-okta-client-id',
      authorizationBaseUrl: 'https://your-domain.okta.com/oauth2/default/v1/authorize',
      accessTokenEndpoint: 'https://your-domain.okta.com/oauth2/default/v1/token',
      redirectUrl: 'myapp://oauth/okta',
      scope: 'openid profile email offline_access',
      pkceEnabled: true,
      resourceUrl: 'https://your-domain.okta.com/oauth2/default/v1/userinfo',
    },
  },
});

Keycloak et fournisseurs OIDC personnalisés

Si votre fournisseur prend en charge la découverte OpenID Connect, préférez issuerUrl:

await SocialLogin.initialize({
  oauth2: {
    keycloak: {
      issuerUrl: 'https://sso.example.com/realms/mobile',
      clientId: 'mobile-app',
      redirectUrl: 'myapp://oauth/keycloak',
      scope: 'openid profile email offline_access',
      pkceEnabled: true,
    },
  },
});

Si la découverte n'est pas disponible, configurez les points de terminaison d'autorisation et de jeton manuellement.

Notes spécifiques au plateforme

iOS

Le plugin utilise ASWebAuthenticationSession.
Définir iosPrefersEphemeralSession: true si vous souhaitez une session de navigateur privée sans cookies partagés.

Android

Les redirections OAuth retournent par votre schéma d'application et votre hôte.
Assurez-vous que l'URL de rappel du fournisseur correspond exactement à votre configuration de lien profond Android.
Le plugin gère déjà l'activité OAuth. Ajoutez uniquement des filtres d'intent personnalisés si votre application nécessite un modèle de redirection différent.

Web

Le flux de popup est le mode par défaut et fonctionne bien pour les applications monopage.
Le flux de redirection est préférable lorsque le fournisseur bloque les popup ou que vos règles d'autorisation nécessitent une navigation de niveau supérieur.
Certaines fournisseurs bloquent l'échange de jetons directement dans le navigateur avec CORS. Dans ces cas, utilisez un échange de backend ou une configuration de fournisseur qui permet aux clients publics.

Meilleures pratiques de sécurité

Utilisez PKCE Conservez pkceEnabled: true pour les clients publics.
Préférez le flux d'autorisation code responseType: 'code' est plus sûr que le flux implicite.
Validez les jetons sur votre serveur Décodifiez et vérifiez l'émetteur, l'audience, la date d'expiration et la signature côté serveur.
Stockez les jetons de rafraîchissement de manière sécurisée Pour les applications natives, associez ce plugin avec @capgo/capacitor-compte-persistant.
Utilisez HTTPS partout Les points de terminaison d'authentification de production et les points de terminaison de déconnexion doivent toujours utiliser HTTPS.

Résolution des problèmes

`providerId is required`

Tout méthode OAuth2 nécessite la clé de fournisseur configurée :

await SocialLogin.login({
  provider: 'oauth2',
  options: { providerId: 'github' },
});

`OAuth2 provider "xxx" not configured`

Appel SocialLogin.initialize() avant la connexion et assurez-vous que providerId correspond à la clé d'objet sous oauth2.

Incohérence entre les URL de redirection

Comparez l'URL de redirection configurée dans votre application et le tableau de bord du fournisseur caractère par caractère.
Faites attention aux slash de fin, aux incohérences de schéma et aux hôtes différents.
Assurez-vous que les schémas d'URL des applications mobiles soient enregistrés avant de tester sur appareil.

Aucun jeton de renouvellement retourné

La plupart des fournisseurs ne retournent des jetons de renouvellement que lorsque vous demandez des autorisations comme __CAPGO_KEEP_0__ ou que vous forcez explicitement le consentement. Vérifiez la politique spécifique au fournisseur. offline_access Débogage de l'échange de jetons

Sous-section intitulée « Débogage de l'échange de jetons »

sur la configuration du fournisseur pour inspecter les URL générées et les détails de l'échange de jetons. logsEnabled: true Documents connexes

Continuez à partir des fournisseurs OAuth2 génériques

Si vous utilisez Fournisseurs OAuth2 génériques pour planifier les flux d'authentification et de compte, connectez-le avec En utilisant @capgo/capacitor-social-login pour la capacité native dans En utilisant @capgo/capacitor-social-login, @capgo/capacitor-social-login pour le détail d'implémentation dans @capgo/capacitor-social-login, @capgo/capacitor-passkey pour le détail d'implémentation dans @capgo/capacitor-passkey, @capgo/capacitor-native-biometrique pour les détails d'implémentation dans @capgo/capacitor-native-biometrique, et L'authentification à deux facteurs pour les détails d'implémentation dans L'authentification à deux facteurs.