Sauter au contenu
Capgo - Mises à jour en temps réel pour les applications Capacitor Capgo

Fournisseurs OAuth2 génériques

Introduction

Section intitulée « Introduction »

Le plugin de connexion sociale Capgo comprend un moteur OAuth2 et OpenID Connect intégré. Vous pouvez l'utiliser pour vous connecter à tout fournisseur d'identité conforme aux normes, notamment :

  • GitHub
  • Azure AD / Microsoft Entra ID
  • Auth0
  • Okta
  • Keycloak
  • Serveurs OAuth2 ou OIDC personnalisés

La oauth2 La configuration est multi-fournisseur par conception. Vous pouvez enregistrer plusieurs fournisseurs à la fois et sélectionner ensuite un à l'heure du connexion avec providerId.

Ce dont vous avez besoin

Section intitulée “Ce dont vous avez besoin”

Avant de configurer un fournisseur, collectez :

  • Votre ID client OAuth
  • Une URL de redirection qui correspond à votre schéma d'application ou à l'URL de rappel web
  • Un point de terminaison d'autorisation
  • Un point de terminaison de jeton pour le flux d'autorisation code issuerUrl pour la découverte OIDC
  • Les étendues dont votre application a besoin, telles que openid profile email

Configuration de plusieurs fournisseurs

Section intitulée “Configuration de plusieurs fournisseurs”

Utilisez SocialLogin.initialize() une seule fois lors du démarrage de l'application et enregistrez chaque fournisseur dont vous avez besoin :

import { SocialLogin } from '@capgo/capacitor-social-login';


await SocialLogin.initialize({
  oauth2: {
    github: {
      appId: 'your-github-client-id',
      authorizationBaseUrl: 'https://github.com/login/oauth/authorize',
      accessTokenEndpoint: 'https://github.com/login/oauth/access_token',
      redirectUrl: 'myapp://oauth/github',
      scope: 'read:user user:email',
      pkceEnabled: true,
      resourceUrl: 'https://api.github.com/user',
    },
    azure: {
      appId: 'your-azure-client-id',
      authorizationBaseUrl: 'https://login.microsoftonline.com/common/oauth2/v2.0/authorize',
      accessTokenEndpoint: 'https://login.microsoftonline.com/common/oauth2/v2.0/token',
      redirectUrl: 'myapp://oauth/azure',
      scope: 'openid profile email User.Read',
      pkceEnabled: true,
      resourceUrl: 'https://graph.microsoft.com/v1.0/me',
    },
    auth0: {
      issuerUrl: 'https://your-tenant.auth0.com',
      appId: 'your-auth0-client-id',
      redirectUrl: 'myapp://oauth/auth0',
      scope: 'openid profile email offline_access',
      pkceEnabled: true,
      additionalParameters: {
        audience: 'https://your-api.example.com',
      },
    },
  },
});

Découverte OIDC et alias

Section intitulée “Découverte OIDC et alias”

Si votre fournisseur expose un document de découverte OpenID Connect, issuerUrl est la configuration la plus simple :

await SocialLogin.initialize({
  oauth2: {
    keycloak: {
      issuerUrl: 'https://sso.example.com/realms/mobile',
      clientId: 'mobile-app',
      redirectUrl: 'myapp://oauth/keycloak',
      scope: 'openid profile email offline_access',
      pkceEnabled: true,
    },
  },
});

Le plugin prend également en charge les alias OAuth et OIDC courants :

  • clientId en tant que synonyme de appId
  • authorizationEndpoint en tant que synonyme de authorizationBaseUrl
  • tokenEndpoint en tant que synonyme de accessTokenEndpoint
  • endSessionEndpoint en tant que synonyme de logoutUrl
  • scopes En outre disponible : scope

pour les surcharges de requêtes d'authentification

  • additionalParameters pour les surcharges d'échange de jetons
  • additionalTokenParameters pour les en-têtes d'endpoint de ressource personnalisés
  • additionalResourceHeaders et
  • additionalLogoutParameters pour les flux de déconnexion postLogoutRedirectUrl __CAPGO_KEEP_0__
  • loginHint, prompt, et iosPrefersEphemeralSession

Préférences compatibles avec Auth Connect

Section intitulée “Préférences compatibles avec Auth Connect”

Si vous migrez de Ionic Auth Connect et que vous souhaitez conserver les mêmes noms de fournisseur, utilisez SocialLoginAuthConnect.

import { SocialLoginAuthConnect } from '@capgo/capacitor-social-login';


await SocialLoginAuthConnect.initialize({
  authConnect: {
    auth0: {
      domain: 'https://your-tenant.auth0.com',
      clientId: 'your-auth0-client-id',
      redirectUrl: 'myapp://oauth/auth0',
      audience: 'https://your-api.example.com',
    },
    azure: {
      tenantId: 'common',
      clientId: 'your-azure-client-id',
      redirectUrl: 'myapp://oauth/azure',
    },
    okta: {
      issuer: 'https://dev-12345.okta.com/oauth2/default',
      clientId: 'your-okta-client-id',
      redirectUrl: 'myapp://oauth/okta',
    },
  },
});

Identifiants de fournisseur de préférences pris en charge :

  • auth0
  • azure
  • cognito
  • okta
  • onelogin

Si un fournisseur nécessite des points de terminaison personnalisés, vous pouvez soit les surcharger dans la préférence, soit contourner les préférences et configurer le fournisseur directement dans oauth2.

Options de configuration

Section intitulée “Options de configuration”
OptionTypeObligatoireDescription
appId / clientIdchaîne de caractèresOuiIdentifiant client OAuth2
issuerUrlchaîne de caractèresNonURL de base de découverte OIDC
authorizationBaseUrl / authorizationEndpointchaîne de caractèresOui*URL du point de terminaison d'autorisation
accessTokenEndpoint / tokenEndpointchaîne de caractèresNon*Adresse URL de point de terminaison
redirectUrl__CAPGO_KEEP_0__OuiAdresse URL de rappel
scope / scopes__CAPGO_KEEP_1__ / __CAPGO_KEEP_1__[]NonÉtendues requises
pkceEnabledbooleanNonPar défaut true
responseType'code' ou 'token'NonPar défaut 'code'
resourceUrl__CAPGO_KEEP_0__NonInformations de l'utilisateur ou point de terminaison de ressource
logoutUrl / endSessionEndpoint__CAPGO_KEEP_0__NonURL de déconnexion ou fin de session
postLogoutRedirectUrl__CAPGO_KEEP_0__NonURL de redirection après déconnexion
additionalParametersRecord<string, string>NonParamètres supplémentaires de requête d'authentification
additionalTokenParametersRecord<string, string>NonParamètres supplémentaires pour requête de jeton
additionalResourceHeadersRecord<string, string>NonEn-têtes supplémentaires pour resourceUrl
additionalLogoutParametersRecord<string, string>NonParamètres supplémentaires pour déconnexion
loginHintchaîneNonAbréviation pour additionalParameters.login_hint
promptchaîneNonAbréviation pour additionalParameters.prompt
iosPrefersEphemeralSessionbooleanNonPréférez une session de navigateur éphémère sur iOS
logsEnabledbooleanNonActiver la journalisation de débogage détaillée

authorizationBaseUrl et accessTokenEndpoint ne sont que facultatifs lorsque issuerUrl est suffisant pour la découverte. Les points de terminaison explicites l'emportent toujours sur les valeurs découvertes.

Utilisation de l'authentification OAuth2

Section intitulée “Utilisation de l'authentification OAuth2”

Se connecter

Section intitulée « Connexion »
const result = await SocialLogin.login({
  provider: 'oauth2',
  options: {
    providerId: 'github',
    scope: 'read:user user:email',
    loginHint: 'user@example.com',
  },
});

Flux de redirection sur le web

Section intitulée « Flux de redirection sur le web »

Utilisez flow: 'redirect' si vous souhaitez une redirection de page complète au lieu d'une fenêtre contextuelle :

await SocialLogin.login({
  provider: 'oauth2',
  options: {
    providerId: 'auth0',
    flow: 'redirect',
  },
});

Sur la page qui reçoit l'appel de retour, analysez le résultat de connexion :

const result = await SocialLogin.handleRedirectCallback();
if (result?.provider === 'oauth2') {
  console.log(result.result.providerId);
}

Statut de connexion et déconnexion

Section intitulée « Statut de connexion et déconnexion »
const status = await SocialLogin.isLoggedIn({
  provider: 'oauth2',
  providerId: 'github',
});


await SocialLogin.logout({
  provider: 'oauth2',
  providerId: 'github',
});

Refresh tokens

Section intitulée « Refresh tokens »
await SocialLogin.refresh({
  provider: 'oauth2',
  options: {
    providerId: 'github',
  },
});


const refreshed = await SocialLogin.refreshToken({
  provider: 'oauth2',
  providerId: 'github',
  refreshToken: 'existing-refresh-token',
});

refresh() utilise le jeton de rafraîchissement stocké par le plugin. refreshToken() vous permet de passer un jeton de rafraîchissement vous-même et renvoie la réponse OAuth2 fraîche.

Obtenez le jeton d'accès actuel

Section intitulée « Obtenez le jeton d'accès actuel »
const code = await SocialLogin.getAuthorizationCode({
  provider: 'oauth2',
  providerId: 'github',
});


console.log(code.accessToken);

Exemples spécifiques au fournisseur

Section intitulée « Exemples spécifiques au fournisseur »

GitHub exemple

Section intitulée « GitHub exemple »

Utilisez GitHub lorsque vous souhaitez un flux d'application OAuth simple et des données de profil de base :

await SocialLogin.initialize({
  oauth2: {
    github: {
      appId: 'your-github-client-id',
      authorizationBaseUrl: 'https://github.com/login/oauth/authorize',
      accessTokenEndpoint: 'https://github.com/login/oauth/access_token',
      redirectUrl: 'myapp://oauth/github',
      scope: 'read:user user:email',
      pkceEnabled: true,
      resourceUrl: 'https://api.github.com/user',
    },
  },
});


const githubResult = await SocialLogin.login({
  provider: 'oauth2',
  options: {
    providerId: 'github',
  },
});


console.log(githubResult.result.accessToken?.token);
console.log(githubResult.result.resourceData);

Exemple d'Azure AD / Microsoft Entra ID

Section intitulée « Exemple d'Azure AD / Microsoft Entra ID »

Utilisez Azure lorsque vous avez besoin de données Microsoft Graph telles que le profil de l'utilisateur :

await SocialLogin.initialize({
  oauth2: {
    azure: {
      appId: 'your-azure-client-id',
      authorizationBaseUrl: 'https://login.microsoftonline.com/common/oauth2/v2.0/authorize',
      accessTokenEndpoint: 'https://login.microsoftonline.com/common/oauth2/v2.0/token',
      redirectUrl: 'myapp://oauth/azure',
      scope: 'openid profile email User.Read',
      pkceEnabled: true,
      resourceUrl: 'https://graph.microsoft.com/v1.0/me',
    },
  },
});


const azureResult = await SocialLogin.login({
  provider: 'oauth2',
  options: {
    providerId: 'azure',
  },
});


console.log(azureResult.result.idToken);
console.log(azureResult.result.resourceData);

Exemple d'Auth0

Section intitulée « Exemple d'Auth0 »

Auth0 est un bon choix lorsque vous avez besoin d'OIDC plus d'un auditeur personnalisé API :

await SocialLogin.initialize({
  oauth2: {
    auth0: {
      appId: 'your-auth0-client-id',
      authorizationBaseUrl: 'https://your-tenant.auth0.com/authorize',
      accessTokenEndpoint: 'https://your-tenant.auth0.com/oauth/token',
      redirectUrl: 'myapp://oauth/auth0',
      scope: 'openid profile email offline_access',
      pkceEnabled: true,
      additionalParameters: {
        audience: 'https://your-api.example.com',
      },
    },
  },
});


const auth0Result = await SocialLogin.login({
  provider: 'oauth2',
  options: {
    providerId: 'auth0',
    flow: 'redirect',
  },
});

Si vous utilisez le flux de redirection sur le web, lisez le résultat à nouveau sur la page de rappel :

const auth0Result = await SocialLogin.handleRedirectCallback();
if (auth0Result?.provider === 'oauth2') {
  console.log(auth0Result.result.idToken);
}

Exemple Okta

Section intitulée « Exemple Okta »
await SocialLogin.initialize({
  oauth2: {
    okta: {
      appId: 'your-okta-client-id',
      authorizationBaseUrl: 'https://your-domain.okta.com/oauth2/default/v1/authorize',
      accessTokenEndpoint: 'https://your-domain.okta.com/oauth2/default/v1/token',
      redirectUrl: 'myapp://oauth/okta',
      scope: 'openid profile email offline_access',
      pkceEnabled: true,
      resourceUrl: 'https://your-domain.okta.com/oauth2/default/v1/userinfo',
    },
  },
});


const oktaResult = await SocialLogin.login({
  provider: 'oauth2',
  options: {
    providerId: 'okta',
  },
});


console.log(oktaResult.result.resourceData);

Exemple Keycloak

Section intitulée « Exemple Keycloak »

Utiliser la découverte lorsque votre fournisseur publie /.well-known/openid-configuration:

await SocialLogin.initialize({
  oauth2: {
    keycloak: {
      issuerUrl: 'https://sso.example.com/realms/mobile',
      clientId: 'mobile-app',
      redirectUrl: 'myapp://oauth/keycloak',
      scope: 'openid profile email offline_access',
      pkceEnabled: true,
    },
  },
});


const keycloakResult = await SocialLogin.login({
  provider: 'oauth2',
  options: {
    providerId: 'keycloak',
  },
});


console.log(keycloakResult.result.idToken);

Forme de la réponse OAuth2

Section intitulée « Forme de la réponse OAuth2 »

Les logins OAuth2 réussis retournent :

ChampDescription
providerIdLa clé du fournisseur configurée utilisée pour le connexion
accessTokenCharge utile du jeton d'accès ou null
idTokenSi le fournisseur a retourné un jeton ID OIDC
refreshTokenSi les scopes demandés le permettaient
resourceDataJSON brut récupéré de resourceUrl
scopeScopes concédés
tokenTypeGénéralement bearer
expiresInDurée de vie du jeton en secondes

Référence de configuration du fournisseur

Section intitulée “Référence de configuration du fournisseur”

GitHub

Section intitulée “GitHub”

  1. Créer une application OAuth Ouvrir GitHub Paramètres du développeur et créer une nouvelle application OAuth.

  2. Définir l'URL de rappel Utilisez l'URL de redirection de votre application, par exemple myapp://oauth/github.

  3. Configurer le plugin

    await SocialLogin.initialize({
      oauth2: {
        github: {
          appId: 'your-github-client-id',
          authorizationBaseUrl: 'https://github.com/login/oauth/authorize',
          accessTokenEndpoint: 'https://github.com/login/oauth/access_token',
          redirectUrl: 'myapp://oauth/github',
          scope: 'read:user user:email',
          pkceEnabled: true,
          resourceUrl: 'https://api.github.com/user',
        },
      },
    });

Azure AD / Microsoft Entra ID

Section intitulée “Azure AD / Microsoft Entra ID”

  1. Inscrire une application Allez sur le Portail Azure, ouvrez App registrationset créez l'enregistrement d'une application native ou mobile.

  2. Ajoutez l'URI de redirection Ajoutez l'URI de redirection mobile ou de bureau qui correspond à l'URL de rappel de votre application.

  3. Configurez le plugin

    await SocialLogin.initialize({
      oauth2: {
        azure: {
          appId: 'your-azure-client-id',
          authorizationBaseUrl: 'https://login.microsoftonline.com/common/oauth2/v2.0/authorize',
          accessTokenEndpoint: 'https://login.microsoftonline.com/common/oauth2/v2.0/token',
          redirectUrl: 'myapp://oauth/azure',
          scope: 'openid profile email User.Read',
          pkceEnabled: true,
          resourceUrl: 'https://graph.microsoft.com/v1.0/me',
        },
      },
    });

Auth0

Section intitulée “Auth0”

  1. Créez une application native Ouvrez le Tableau de bord Auth0 et créez une application native.

  2. Définissez les URL de rappel autorisées Ajoutez l'URL de redirection exacte utilisée par votre Capacitor application.

  3. Configurez le plugin

    await SocialLogin.initialize({
      oauth2: {
        auth0: {
          appId: 'your-auth0-client-id',
          authorizationBaseUrl: 'https://your-tenant.auth0.com/authorize',
          accessTokenEndpoint: 'https://your-tenant.auth0.com/oauth/token',
          redirectUrl: 'myapp://oauth/auth0',
          scope: 'openid profile email offline_access',
          pkceEnabled: true,
          additionalParameters: {
            audience: 'https://your-api.example.com',
          },
          logoutUrl: 'https://your-tenant.auth0.com/v2/logout',
        },
      },
    });

Okta

Section intitulée “Okta”

  1. Créez une application native OIDC Dans le console d'administration Okta, créez une application Native OIDC.

  2. Ajoutez votre URI de redirection Enregistrez l'URL de rappel exacte utilisée par votre application.

  3. Configurez le plugin

    await SocialLogin.initialize({
      oauth2: {
        okta: {
          appId: 'your-okta-client-id',
          authorizationBaseUrl: 'https://your-domain.okta.com/oauth2/default/v1/authorize',
          accessTokenEndpoint: 'https://your-domain.okta.com/oauth2/default/v1/token',
          redirectUrl: 'myapp://oauth/okta',
          scope: 'openid profile email offline_access',
          pkceEnabled: true,
          resourceUrl: 'https://your-domain.okta.com/oauth2/default/v1/userinfo',
        },
      },
    });

Keycloak et fournisseurs OIDC personnalisés

Section intitulée “Keycloak et fournisseurs OIDC personnalisés”

Si votre fournisseur prend en charge la découverte OpenID Connect, préférez issuerUrl:

await SocialLogin.initialize({
  oauth2: {
    keycloak: {
      issuerUrl: 'https://sso.example.com/realms/mobile',
      clientId: 'mobile-app',
      redirectUrl: 'myapp://oauth/keycloak',
      scope: 'openid profile email offline_access',
      pkceEnabled: true,
    },
  },
});

Si la découverte n'est pas disponible, configurez les points de terminaison d'autorisation et de jeton manuellement.

Notes spécifiques à la plateforme

Section intitulée “Notes spécifiques à la plateforme”

iOS

Section intitulée “iOS”
  • Le plugin utilise ASWebAuthenticationSession.
  • Définir iosPrefersEphemeralSession: true Si vous souhaitez une session de navigateur privée sans cookies partagés.

Android

Section intitulée “Android”
  • Les redirections OAuth retournent par votre schéma et votre hôte d'application.
  • Assurez-vous que l'URL de rappel du fournisseur correspond exactement à votre configuration de lien profond Android.
  • Le plugin gère déjà l'activité OAuth. Ajoutez uniquement des filtres d'intent personnalisés si votre application nécessite un modèle de redirection différent.

Web

Section intitulée “Web”
  • Le flux de popup est le mode par défaut et fonctionne bien pour les applications monopage.
  • Le flux de redirection est préférable lorsque le fournisseur bloque les popup ou que vos règles d'autorisation nécessitent une navigation de niveau supérieur.
  • Certains fournisseurs bloquent l'échange de jetons directement par navigateur avec CORS. Dans ces cas, utilisez un échange backend ou une configuration de fournisseur qui permet aux clients publics.

Meilleures pratiques de sécurité

Section intitulée « Meilleures pratiques de sécurité »

  1. Utilisez PKCE Conservez pkceEnabled: true pour les clients publics.

  2. La mise en œuvre de l'code flux est plus sûre que le flux implicite. responseType: 'code' Vérifiez les jetons sur votre serveur

  3. Décodez et vérifiez l'émetteur, l'audience, la date d'expiration et la signature côté serveur. Stockez les jetons de rappel de manière sécurisée

  4. Pour les applications natives, associez ce plugin avec Utilisez un échange backend ou une configuration de fournisseur qui permet aux clients publics. @capgo/capacitor-compte-persistant.

  5. Utilisez HTTPS partout Les points de terminaison d'authentification et de déconnexion en production doivent toujours utiliser HTTPS.

Résolution des problèmes

Section intitulée « Résolution des problèmes »

providerId is required

Section intitulée « Le providerId est requis »

Chaque méthode OAuth2 nécessite la clé de fournisseur configurée :

await SocialLogin.login({
  provider: 'oauth2',
  options: { providerId: 'github' },
});

OAuth2 provider "xxx" not configured

Section intitulée « Le fournisseur OAuth2 « xxx » n'est pas configuré »

Appel SocialLogin.initialize() avant la connexion et assurez-vous que providerId correspond à la clé de l'objet sous oauth2.

Mauvaise correspondance de l'URL de redirection

Section intitulée « Mauvaise correspondance de l'URL de redirection »
  • Comparez l'URL de redirection configurée dans votre application et dans le tableau de bord du fournisseur caractère par caractère.
  • Faites attention aux slash finals, aux incohérences de schéma et aux hôtes différents.
  • Assurez-vous que les schémas d'URL des applications mobiles soient enregistrés avant de tester sur appareil.

Aucun jeton de renouvellement retourné

Section intitulée « Aucun jeton de renouvellement retourné »

La plupart des fournisseurs ne retournent des jetons de renouvellement que lorsque vous demandez des scopes comme offline_access ou que vous forcez explicitement le consentement. Consultez la politique spécifique au fournisseur.

Débogage de l'échange de jetons

Section intitulée « Débogage de l'échange de jetons »

Activez la débogage logsEnabled: true sur la configuration du fournisseur pour inspecter les URL générées et les détails de l'échange de jetons.

Section intitulée « docs connexes »