OAuth 2.0 utilise des jetons de courte durée avec une autorisation à long terme (jetons d’actualisation) au lieu de jetons de longue durée. Un jeton d’actualisation permet aux utilisateurs de rester connectés à votre application sur une période prolongée sans devoir saisir à nouveau leur nom d’utilisateur et mot de passe. Cette approche réduit les risques potentiels d’exposition des données d’authentification des utilisateurs.

Configurez OAuth 2.0 pour l’autorisation :

• par nom d’utilisateur ou adresse e-mail et mot de passe ;
• via les réseaux sociaux ;
• via Steam.

Si l’option est activée, l’inscription et l’authentification de l’utilisateur sont effectuées via les appels API Register new user et JWT auth by username and password. Le SDK propose les mêmes méthodes pour l’autorisation OAuth 2.0 que pour l’autorisation JWT. Dans la structure FXsollaAuthToken, le jeton d’actualisation est spécifié dans le champ RefreshToken.

1. Configurez l’authentification OAuth 2.0 pour le projet de connexion dans le Compte éditeur.
2. Configurez le plug-in dans votre projet Unreal Engine.

Configurer l'authentification OAuth 2.0 pour le projet de connexion dans le Compte éditeur

1. Accédez à votre Compte éditeur.
2. Dans le menu latéral, cliquez sur Login.
3. Cliquez sur Configure dans le volet du projet de connexion.
4. Accédez au bloc Security et sélectionnez la section OAuth 2.0.
5. Cliquez sur Add OAuth 2.0.
6. Dans le champ OAuth 2.0 redirect URIs, spécifiez l'URL ou le chemin de l'application vers lequel les utilisateurs sont redirigés après une authentification, une confirmation par e-mail ou une réinitialisation du mot de passe réussies.
7. Cliquez sur Connect.
8. Copiez et enregistrez le Client ID.

Configurer le plug-in dans le projet Unreal Engine

1. Ouvrez votre projet Unreal Engine dans l'éditeur Unreal.
2. Accédez à Settings > Project Settings > Plugins > Xsolla Settings > General.
3. Dans le champ Client ID, spécifiez l'Client ID obtenu lors de la configuration d'OAuth 2.0 dans le Compte éditeur.
4. Dans le champ Redirect URI, spécifiez l'URL ou le chemin. La valeur doit correspondre à celle spécifiée dans le Compte éditeur dans la section Login > votre projet de connexion > Security > OAuth 2.0.

Les méthodes suivantes sont implémentées dans le SDK pour l’utilisation des jetons d’actualisation :

• RefreshToken — actualise le jeton expiré ;
• ExchangeAuthenticationCodeToToken — échange le code d’authentification de l’utilisateur contre un JWT valide.

Le paramètre State présent dans les méthodes RegisterUser, GetSocialAuthenticationUrl et AuthenticateWithSessionTicket est utilisé pour une vérification supplémentaire de l’utilisateur lors de l’authentification OAuth 2.0. Il sert à renforcer la sécurité en atténuant les éventuelles attaques CSRF.

L’invalidation de jeton est une mesure qui permet d’améliorer la sécurité des données d’authentification de l’utilisateur dans votre application. Lorsque cette option est activée, chaque fois que l’utilisateur s’authentifie, un nouveau jeton est généré pour remplacer l’ancien, rendant ainsi ce dernier invalide.

Lorsque vous employez le SDK, l’invalidation du jeton existant et la génération d’un nouveau jeton sont effectuées via les appels API Auth by username and password et Auth via social network, si le paramètre with_logout est défini sur 1.

Pour activer l’invalidation de jeton dans votre projet Unreal Engine :

1. Accédez à Settings > Project Settings > Plugins > Xsolla Settings.
2. Activez l’option Invalidate Existing Sessions.