Skip to Content

OAuth 2.0

OAuth 2.0 est le mécanisme utilisé par DPS77 pour permettre à un logiciel tiers (SIH, logiciel métier, portail régional) d’agir au nom d’un administrateur sans lui demander son mot de passe.

Quand l’utiliser ?

  • Un SIH veut mettre à jour automatiquement les horaires d’une structure dans DPS77
  • Un logiciel métier de CPTS veut pousser les nouveaux professionnels dans l’annuaire
  • Un portail institutionnel veut laisser les administrateurs se connecter avec leurs identifiants DPS77

Si vous avez seulement besoin de lire, l’API publique suffit. OAuth n’est nécessaire que pour écrire.

Enregistrer une application

Déclarer l’application

Depuis l’espace super-administrateur, créer une application OAuth avec :

  • Un nom visible par l’utilisateur
  • Une ou plusieurs URL de redirection (domaines déclarés)
  • Les portées (scopes) demandées

Récupérer les identifiants

DPS77 vous fournit un client_id public et un client_secret à stocker côté serveur uniquement.

Mettre en œuvre le flux

Suivre le flux standard « authorization code » (code d’autorisation) avec PKCE obligatoire pour les clients publics.

Portées (scopes) disponibles

PortéeAutorisations
profile:readLire les informations de l’administrateur connecté
organization:readLire les structures gérées par l’administrateur
organization:writeMettre à jour les structures gérées
professional:readLire les fiches professionnelles des structures gérées
professional:writeCréer et mettre à jour les fiches professionnelles

Flux du code d’autorisation

1. https://aide.directprosante.fr/oauth/authorize
     ?client_id=xxx
     &redirect_uri=https://votre-app.fr/callback
     &response_type=code
     &scope=organization:read%20organization:write
     &state=abc
     &code_challenge=...
     &code_challenge_method=S256

2. L'administrateur accepte, DPS77 redirige vers
   https://votre-app.fr/callback?code=yyy&state=abc

3. Votre serveur échange le code contre un access_token
   POST /oauth/token

Les access_tokens expirent au bout d’une heure. Utilisez le refresh_token pour en obtenir un nouveau sans redemander à l’utilisateur.

Révocation

L’administrateur peut révoquer à tout moment l’accès d’une application depuis son profil. Les jetons (tokens) émis deviennent immédiatement invalides.

Pour aller plus loin

Besoin d’aide ? Contactez l’équipe DirectProSanté 77 : contact@directprosante.fr

Dernière mise à jour le