oauth4webapi

API de cliente OAuth 2 / OpenID Connect de bajo nivel para JavaScript RunTimes

Este software proporciona una colección de rutinas que se pueden utilizar para construir módulos de clientes para OAuth 2.1, OAuth 2.0 con las últimas prácticas actuales de las mejores seguridad (BCP) y FAPI 2.0, así como OpenID Connect donde corresponda. El objetivo principal de este software es promover las mejores prácticas seguras y actualizadas, al tiempo que usa solo las capacidades comunes para el navegador y el no frecuente JavaScript RunTimes.

Las siguientes funciones están actualmente en alcance e implementadas en este software:

• Descubrimiento de metadatos del servidor de autorización
• Flujo de código de autorización (perfilado en OpenID Connect 1.0, OAuth 2.0, OAuth 2.1 y FAPI 2.0), con PKCE
• Actualizar las subvenciones de token, autorización de dispositivos y credenciales del cliente
• Demostrar prueba de posesión en la capa de aplicación (DPOP)
• Introspección y revocación del token
• Solicitudes de autorización presionadas (PAR)
• UserInfo y solicitudes de recursos protegidos
• Identificación del emisor del servidor de autorización
• JWT aseguró la introspección, el modo de respuesta (JARM), la solicitud de autorización (JAR) y UserInfo
• Validación de tokens de acceso JWT entrantes

Si desea agregar rápidamente autenticación a las aplicaciones JavaScript, no dude en consultar el SDK de JavaScript de Auth0 y el plan gratuito. Crear una cuenta Auth0; ¡Es gratis!

Filip Skokan ha certificado que este software se ajusta al Basic, FAPI 1.0 y FAPI 2.0 Perfiles de conformidad de la parte del partido del Protocolo OpenID Connect ™.

El apoyo de la comunidad para continuar manteniendo y mejorando este módulo es bienvenido. Si encuentra útil el módulo, considere apoyar el proyecto convirtiéndose en patrocinador.

oauth4webapi no tiene dependencias y exporta ESM que no puede desgarrar los árboles.

oauth4webapi se distribuye a través de npmjs.com, jsr.io, deno.land/x, cdnjs.com, jsdelivr.com y github.com.

example de importación ESM ¹

 import * as oauth from 'oauth4webapi'

• Flujo de código de autorización (OAuth 2.0) - Fuente
• Flujo de código de autorización (OpenID Connect) - Fuente | diferencia
• Extensiones
  • DPOP - Fuente | diferencia
  • Solicitud de autorización segura de JWT (JAR) - Fuente | diferencia
  • JWT Modo de respuesta de autorización asegurada (JARM) - Fuente | diferencia
  • Solicitud de autorización presionada (PAR) - Fuente | diferencia
• Autenticación del cliente
  • Secreto del cliente en el encabezado de autorización HTTP - Fuente
  • Secreto del cliente en el cuerpo HTTP - Fuente | diferencia
  • Clave privada JWT Autenticación del cliente - Fuente | diferencia
  • Cliente público - Fuente | diferencia
• Otras subvenciones
  • Subvención de credenciales del cliente - Fuente
  • Subvención de autorización del dispositivo - Fuente
  • Actualizar la subvención de token - Fuente | diferencia
• Fapi
  • FAPI 1.0 Avanzado - Fuente | diferencia
  • Perfil de seguridad FAPI 2.0 - Fuente | diferencia
  • FAPI 2.0 Significación de mensajes - Fuente | diferencia

Los tiempos de ejecución de JavaScript compatibles incluyen aquellos que admiten los globales de API web utilizados y los objetos estándar incorporados. Estos son (pero no se limitan a) :

• Navegadores
• Bollo
• Trabajadores de la nube
• Deno
• Electrón
• Nodo.js
• Tiempo de ejecución del borde de Vercel