OAuth এবং OpenID সংযোগের জন্য একটি সচিত্র নির্দেশিকা

বিঃদ্রঃ. অনুবাদ: Okta-এর এই দুর্দান্ত নিবন্ধটি ব্যাখ্যা করে যে কীভাবে OAuth এবং OIDC (OpenID Connect) একটি সহজ এবং পরিষ্কার উপায়ে কাজ করে৷ এই জ্ঞানটি ডেভেলপার, সিস্টেম অ্যাডমিনিস্ট্রেটর এবং এমনকি জনপ্রিয় ওয়েব অ্যাপ্লিকেশনগুলির "নিয়মিত ব্যবহারকারীদের" জন্যও উপযোগী হবে, যা সম্ভবত অন্যান্য পরিষেবার সাথে গোপনীয় ডেটাও আদান-প্রদান করে।

ইন্টারনেটের প্রস্তর যুগে, পরিষেবাগুলির মধ্যে তথ্য ভাগ করা সহজ ছিল। আপনি কেবল একটি পরিষেবা থেকে অন্য পরিষেবাতে আপনার লগইন এবং পাসওয়ার্ড দিয়েছেন, যাতে তিনি আপনার অ্যাকাউন্টে প্রবেশ করেন এবং তার প্রয়োজনীয় তথ্য পান।

"আমাকে আপনার ব্যাঙ্ক অ্যাকাউন্ট দিন।" “আমরা প্রতিশ্রুতি দিচ্ছি যে পাসওয়ার্ড এবং অর্থ দিয়ে সবকিছু ঠিক হয়ে যাবে। এটা সৎ, সৎ!" *হি হি*

বিভীষিকা ! ব্যবহারকারীর ব্যবহারকারীর নাম এবং পাসওয়ার্ড শেয়ার করার জন্য কারও কখনই প্রয়োজন হবে না, শংসাপত্র, অন্য পরিষেবার সাথে। এই পরিষেবার পিছনে থাকা সংস্থা ডেটা সুরক্ষিত রাখবে এবং প্রয়োজনের চেয়ে বেশি ব্যক্তিগত তথ্য সংগ্রহ করবে না এমন কোনও গ্যারান্টি নেই। এটা পাগল শোনাতে পারে, কিন্তু কিছু অ্যাপ এখনও এই অভ্যাস ব্যবহার করে!

আজ একটি একক মান আছে যা একটি পরিষেবাকে অন্যের ডেটা নিরাপদে ব্যবহার করতে দেয়৷ দুর্ভাগ্যবশত, এই ধরনের স্ট্যান্ডার্ডগুলি প্রচুর পরিভাষা এবং পদ ব্যবহার করে, যা তাদের বোঝাপড়াকে জটিল করে তোলে। এই উপাদানটির উদ্দেশ্য হ'ল তারা কীভাবে সাধারণ চিত্রগুলি ব্যবহার করে কাজ করে তা ব্যাখ্যা করা (আপনি কি মনে করেন যে আমার আঁকাগুলি বাচ্চাদের ডাবিংয়ের সাথে সাদৃশ্যপূর্ণ? ওহ ভাল!)।

যাইহোক, এই গাইডটি ভিডিও ফর্ম্যাটেও উপলব্ধ:

ভদ্রমহিলা এবং ভদ্রলোক, স্বাগতম: OAuth 2.0

OAuth 2.0 একটি সুরক্ষা মান যা একটি অ্যাপ্লিকেশনকে অন্য অ্যাপ্লিকেশনে তথ্য অ্যাক্সেস করার অনুমতি পেতে দেয়। পারমিট ইস্যু করার জন্য পদক্ষেপের ক্রম [অনুমতি] (বা সম্মতি [সম্মতি]) প্রায়ই কল করুন অনুমোদন [অনুমোদন] বা এমনকি এমনকি অর্পিত অনুমোদন [অর্পিত অনুমোদন]. এই স্ট্যান্ডার্ডের সাহায্যে, আপনি একটি অ্যাপ্লিকেশানকে আপনার পাসওয়ার্ড না দিয়ে ডেটা পড়ার বা আপনার পক্ষে অন্য অ্যাপ্লিকেশনের ফাংশনগুলি ব্যবহার করার অনুমতি দেন৷ ক্লাসের !

উদাহরণ হিসেবে, ধরা যাক আপনি "আনলাকি পন অফ দ্য ডে" নামে একটি সাইট আবিষ্কার করেছেন [দিনের ভয়ানক শ্লেষ] এবং ফোনে টেক্সট বার্তার আকারে প্রতিদিনের শ্লেষগুলি পাওয়ার জন্য এটিতে নিবন্ধন করার সিদ্ধান্ত নিয়েছে। আপনি সত্যিই সাইটটি পছন্দ করেছেন, এবং আপনি এটি আপনার সমস্ত বন্ধুদের সাথে ভাগ করার সিদ্ধান্ত নিয়েছেন৷ সব পরে, সবাই ভয়ঙ্কর শ্লেষ পছন্দ করে, তাই না?

"দিনের দুর্ভাগ্যজনক শ্লেষ: এমন লোকের কথা শুনেছেন যে তার শরীরের বাম অর্ধেক হারিয়েছে? এখন তিনি সর্বদা সঠিক! (আনুমানিক অনুবাদ, কারণ আসলটির নিজস্ব শ্লেষ রয়েছে - প্রায় অনুবাদ।)

এটা স্পষ্ট যে পরিচিতি তালিকা থেকে প্রতিটি ব্যক্তির কাছে লেখা একটি বিকল্প নয়। এবং, আপনি যদি আমার মতো সামান্যও হন, তাহলে আপনি অপ্রয়োজনীয় কাজ এড়াতে যে কোনও প্রান্তে যাবেন। সৌভাগ্যবশত, দিনের ভয়ঙ্কর পুন নিজেই আপনার সমস্ত বন্ধুদের আমন্ত্রণ জানাতে পারে! এটি করার জন্য, আপনাকে কেবল আপনার পরিচিতিগুলির ইমেলে অ্যাক্সেস খুলতে হবে - সাইট নিজেই তাদের আমন্ত্রণ পাঠাবে (OAuth নিয়ম)!

"সবাই শ্লেষ ভালোবাসে! - ইতিমধ্যে লগ ইন করেছেন? “আপনি কি টেরিবল পুন অফ দ্য ডে ওয়েবসাইটকে আপনার যোগাযোগের তালিকা অ্যাক্সেস করার অনুমতি দিতে চান? - ধন্যবাদ! এখন থেকে, আমরা আপনার পরিচিত প্রত্যেককে প্রতিদিন অনুস্মারক পাঠাব, সময় শেষ না হওয়া পর্যন্ত! তুমি শ্রেষ্ঠ বন্ধু!"

1. আপনার ইমেল পরিষেবা চয়ন করুন.
2. প্রয়োজনে, মেইল ​​সাইটে যান এবং আপনার অ্যাকাউন্টে সাইন ইন করুন।
3. আপনার পরিচিতিগুলি অ্যাক্সেস করার জন্য দিনের ভয়ানক শ্লেষকে অনুমতি দিন।
4. দিনের ভয়ানক শ্লেষ-এ ফিরে যান।

যদি আপনি আপনার মন পরিবর্তন করেন, OAuth ব্যবহার করে অ্যাপ্লিকেশনগুলি অ্যাক্সেস প্রত্যাহার করার একটি উপায়ও প্রদান করে। একবার আপনি সিদ্ধান্ত নিলেন যে আপনি আর টেরিবল পুন অফ দ্য ডে-এর সাথে পরিচিতিগুলি ভাগ করতে চান না, আপনি মেইল ​​সাইটে যেতে পারেন এবং অনুমোদিত অ্যাপ্লিকেশনগুলির তালিকা থেকে শ্লেষ সাইটটিকে সরিয়ে দিতে পারেন৷

OAuth ফ্লো

আমরা কেবল যাকে সাধারণত বলা হয় তার মধ্য দিয়ে চলেছি প্রবাহ [প্রবাহ] OAuth. আমাদের উদাহরণে, এই প্রবাহটি দৃশ্যমান পদক্ষেপগুলির পাশাপাশি বেশ কয়েকটি অদৃশ্য পদক্ষেপ নিয়ে গঠিত, যেখানে দুটি পরিষেবা তথ্যের নিরাপদ আদান-প্রদানে সম্মত হয়৷ আগের ভয়ঙ্কর শ্লেষ অফ দ্য ডে উদাহরণটি সবচেয়ে সাধারণ OAuth 2.0 ফ্লো ব্যবহার করে, যা "অথরাইজেশন কোড" ফ্লো নামে পরিচিত। ["অনুমোদন কোড" প্রবাহ].

OAuth কীভাবে কাজ করে তার বিশদ বিবরণে ডুব দেওয়ার আগে, আসুন কিছু পদের অর্থ সম্পর্কে কথা বলি:

• সম্পদের মালিক:

  
  
  এটা তুমি! আপনি আপনার শংসাপত্র, আপনার ডেটার মালিক এবং আপনার অ্যাকাউন্টগুলিতে সম্পাদিত সমস্ত কার্যকলাপ নিয়ন্ত্রণ করেন৷

• মক্কেল:

  
  
  একটি অ্যাপ্লিকেশান (উদাহরণস্বরূপ, দ্য টেরিবল পন অফ দ্য ডে সার্ভিস) যা অ্যাক্সেস করতে চায় বা এর পক্ষে কিছু কাজ সম্পাদন করতে চায় সম্পদের মালিক'এ.

• অনুমোদন সার্ভার:

  
  
  যে অ্যাপটি জানে সম্পদের মালিক'a এবং যাে u সম্পদের মালিকইতিমধ্যে একটি অ্যাকাউন্ট আছে।

• রিসোর্স সার্ভার:

  
  
  অ্যাপ্লিকেশন প্রোগ্রামিং ইন্টারফেস (এপিআই) বা পরিষেবা যা মক্কেল পক্ষে ব্যবহার করতে চায় সম্পদের মালিক'এ.

• ইউআরআই পুনর্নির্দেশ করুন:

  
  
  যে লিঙ্ক অনুমোদন সার্ভার পুনর্নির্দেশ করবে সম্পদের মালিকএবং অনুমতি দেওয়ার পর মক্কেল'এ এটি কখনও কখনও "কলব্যাক URL" হিসাবে উল্লেখ করা হয়।

• প্রতিক্রিয়ার ধরন:

  
  
  প্রাপ্তির প্রত্যাশিত তথ্যের ধরন মক্কেল. সবচেয়ে সাধারণ প্রতিক্রিয়ার ধরন'ওহম হল কোড, অর্থাৎ মক্কেল পাওয়ার আশা করে অনুমোদন কোড.

• ব্যাপ্তি:

  
  
  এটি প্রয়োজনীয় অনুমতিগুলির একটি বিশদ বিবরণ মক্কেল'y, যেমন ডেটা অ্যাক্সেস করা বা নির্দিষ্ট ক্রিয়া সম্পাদন করা।

• সম্মতি:

  
  
  অনুমোদন সার্ভার টুপিবিশেষ সুযোগগুলিঅনুরোধ মক্কেল'ওম, এবং জিজ্ঞাসা করে সম্পদের মালিক'একটি, তিনি প্রদান করতে প্রস্তুত মক্কেল'উপযুক্ত অনুমতি আছে।

• ক্লায়েন্ট আইডি:

  
  
  এই আইডি সনাক্ত করতে ব্যবহার করা হয় মক্কেল'a অন অনুমোদন সার্ভার'ই.

• ক্লায়েন্ট সিক্রেট:

  
  
  এটি শুধুমাত্র পরিচিত পাসওয়ার্ড মক্কেল'উ এবং অনুমোদন সার্ভার'এ এটি তাদের ব্যক্তিগতভাবে তথ্য ভাগ করার অনুমতি দেয়।

• অনুমোদন কোড:

  
  
  একটি স্বল্প সময়ের বৈধতা সহ অস্থায়ী কোড, যা মক্কেল উপলব্ধ অনুমোদন সার্ভারএর বিনিময়ে অ্যাক্সেস টোকেন.

• অ্যাক্সেস টোকেন:

  
  
  ক্লায়েন্ট যোগাযোগের জন্য যে কী ব্যবহার করবে রিসোর্স সার্ভার'ওম। এক ধরণের ব্যাজ বা কী কার্ড যা প্রদান করে মক্কেল'ডেটা অনুরোধ করার বা অ্যাকশন করার অনুমতি আছে রিসোর্স সার্ভারআপনার পক্ষ থেকে.

মন্তব্য: কখনও কখনও অনুমোদন সার্ভার এবং রিসোর্স সার্ভার একই সার্ভার। যাইহোক, কিছু ক্ষেত্রে, এইগুলি ভিন্ন সার্ভার হতে পারে, এমনকি যদি তারা একই সংস্থার অন্তর্গত না হয়। উদাহরণস্বরূপ, অনুমোদন সার্ভার একটি তৃতীয় পক্ষের পরিষেবা হতে পারে যা রিসোর্স সার্ভার দ্বারা বিশ্বস্ত।

এখন যেহেতু আমরা OAuth 2.0 এর মূল ধারণাগুলি কভার করেছি, আসুন আমাদের উদাহরণে ফিরে যাই এবং OAuth ফ্লোতে কী ঘটে তা আরও ঘনিষ্ঠভাবে দেখে নেওয়া যাক।

1. আপনি, সম্পদের মালিক, আপনি দিবসের ভয়ানক শ্লেষ প্রদান করতে চান (মক্কেলy) আপনার পরিচিতিগুলিতে অ্যাক্সেস করুন যাতে তারা আপনার সমস্ত বন্ধুদের আমন্ত্রণ পাঠাতে পারে।
2. মক্কেল ব্রাউজারটিকে পৃষ্ঠায় পুনঃনির্দেশ করে অনুমোদন সার্ভার'a এবং ক্যোয়ারীতে অন্তর্ভুক্ত করুন ক্লায়েন্ট আইডি, ইউআরআই পুনর্নির্দেশ করুন, প্রতিক্রিয়ার ধরন এবং এক বা একাধিক সুযোগগুলি (অনুমতি) এর প্রয়োজন।
3. অনুমোদন সার্ভার আপনাকে যাচাই করে, প্রয়োজনে একটি ব্যবহারকারীর নাম এবং পাসওয়ার্ড চাইবে।
4. অনুমোদন সার্ভার একটি ফর্ম প্রদর্শন করে সম্মতি (নিশ্চিতকরণ) সকলের একটি তালিকা সহ সুযোগগুলিঅনুরোধ মক্কেল'ওম। আপনি রাজি বা প্রত্যাখ্যান করুন।
5. অনুমোদন সার্ভার আপনাকে সাইটে পুনঃনির্দেশিত করে মক্কেল'a, ব্যবহার করে ইউআরআই পুনর্নির্দেশ করুন একসঙ্গে সঙ্গে অনুমোদন কোড (অনুমোদন কোড).
6. মক্কেল সাথে সরাসরি যোগাযোগ করে অনুমোদন সার্ভার'ওহম (ব্রাউজারকে বাইপাস করে সম্পদের মালিক'ক) এবং নিরাপদে পাঠায় ক্লায়েন্ট আইডি, ক্লায়েন্ট সিক্রেট и অনুমোদন কোড.
7. অনুমোদন সার্ভার ডেটা পরীক্ষা করে এবং এর সাথে সাড়া দেয় অ্যাক্সেস টোকেন'ওম (অ্যাক্সেস টোকেন)।
8. এখন মক্কেল ব্যবহার করতে পারেন অ্যাক্সেস টোকেন একটি অনুরোধ পাঠাতে রিসোর্স সার্ভার পরিচিতির তালিকা পেতে।

ক্লায়েন্ট আইডি এবং সিক্রেট

আপনি আপনার পরিচিতিগুলি অ্যাক্সেস করার জন্য টেরিবল পুন অফ দ্য ডেকে অনুমতি দেওয়ার অনেক আগে, ক্লায়েন্ট এবং অনুমোদন সার্ভার একটি কাজের সম্পর্ক স্থাপন করেছিল। অনুমোদন সার্ভার ক্লায়েন্ট আইডি এবং ক্লায়েন্ট সিক্রেট তৈরি করেছে (কখনও কখনও বলা হয় অ্যাপ আইডি и অ্যাপ গোপন) এবং OAuth-এর মধ্যে আরও ইন্টারঅ্যাকশনের জন্য ক্লায়েন্টের কাছে পাঠিয়েছে।

"- হ্যালো! আমি আপনার সাথে কাজ করতে চাই! - অবশ্যই, সমস্যা নেই! এখানে আপনার ক্লায়েন্ট আইডি এবং গোপনীয়তা আছে!”

নামটি বোঝায় যে ক্লায়েন্ট সিক্রেটটি অবশ্যই গোপন রাখতে হবে যাতে কেবলমাত্র ক্লায়েন্ট এবং অনুমোদন সার্ভার এটি জানতে পারে। সর্বোপরি, এটি তার সহায়তায় যে অনুমোদন সার্ভার ক্লায়েন্টের সত্যতা নিশ্চিত করে।

কিন্তু এটাই নয়... অনুগ্রহ করে OpenID Connect কে স্বাগত জানাই!

OAuth 2.0 শুধুমাত্র এর জন্য ডিজাইন করা হয়েছে অনুমোদন - এক অ্যাপ্লিকেশন থেকে অন্য অ্যাপ্লিকেশনে ডেটা এবং ফাংশনে অ্যাক্সেস প্রদান করতে। ওপেনআইডি কানেক্ট (OIDC) হল OAuth 2.0 এর উপরে একটি পাতলা স্তর যা অ্যাকাউন্টে লগ ইন করা ব্যবহারকারীর লগইন এবং প্রোফাইলের বিশদ যোগ করে। একটি লগইন সেশনের সংগঠন প্রায়ই হিসাবে উল্লেখ করা হয় প্রমাণীকরণ [প্রমাণিকরণ], এবং সিস্টেমে লগ ইন করা ব্যবহারকারী সম্পর্কে তথ্য (যেমন প্রায় সম্পদের মালিক'ই), - ব্যক্তিগত তথ্য [পরিচয়]. যদি অনুমোদন সার্ভার OIDC সমর্থন করে, তবে এটি কখনও কখনও হিসাবে উল্লেখ করা হয় ব্যক্তিগত তথ্য প্রদানকারী [পরিচয় প্রদানকারী]কারণ এটি প্রদান করে মক্কেলসম্পর্কে তথ্য আছে সম্পদের মালিক'ই.

ওপেনআইডি সংযোগ আপনাকে এমন পরিস্থিতিতে প্রয়োগ করতে দেয় যেখানে একাধিক অ্যাপ্লিকেশনে একক লগইন ব্যবহার করা যেতে পারে - এই পদ্ধতিটি হিসাবেও পরিচিত একক সাইন (এসএসও)। উদাহরণস্বরূপ, একটি অ্যাপ্লিকেশন ফেসবুক বা টুইটারের মতো সামাজিক নেটওয়ার্কগুলির সাথে SSO সংহতকরণকে সমর্থন করতে পারে, ব্যবহারকারীদের তাদের ইতিমধ্যেই আছে এবং ব্যবহার করতে পছন্দ করে এমন একটি অ্যাকাউন্ট ব্যবহার করার অনুমতি দেয়৷

প্রবাহ (প্রবাহ) OpenID Connect OAuth-এর ক্ষেত্রে একই রকম দেখায়। শুধুমাত্র পার্থক্য হল যে প্রাথমিক অনুরোধে, ব্যবহৃত নির্দিষ্ট সুযোগ হল openid, - ক মক্কেল অবশেষে মত পায় অ্যাক্সেস টোকেন, এবং আইডি টোকেন.

OAuth প্রবাহের মতোই, অ্যাক্সেস টোকেন OpenID Connect-এ, এটি এমন কিছু মান যা স্পষ্ট নয় মক্কেল'এ দৃষ্টিকোণ থেকে মক্কেল'ক অ্যাক্সেস টোকেন অক্ষরের একটি স্ট্রিং প্রতিনিধিত্ব করে যা প্রতিটি অনুরোধের সাথে পাস করা হয় রিসোর্স সার্ভার'y, যা টোকেন বৈধ কিনা তা নির্ধারণ করে। আইডি টোকেন একটি সম্পূর্ণ ভিন্ন জিনিস প্রতিনিধিত্ব করে।

আইডি টোকেন একটি JWT

আইডি টোকেন JSON ওয়েব টোকেন বা JWT নামে পরিচিত অক্ষরের একটি বিশেষভাবে ফরম্যাট করা স্ট্রিং (কখনও কখনও JWT টোকেন "jots" এর মতো উচ্চারিত হয়). বাইরের পর্যবেক্ষকদের কাছে, জেডব্লিউটি বোধগম্য কথার মতো মনে হতে পারে, কিন্তু মক্কেল JWT থেকে বিভিন্ন তথ্য বের করতে পারে, যেমন আইডি, ব্যবহারকারীর নাম, লগইন সময়, মেয়াদ শেষ হওয়ার তারিখ আইডি টোকেন'ক, জেডব্লিউটি-তে হস্তক্ষেপ করার প্রচেষ্টার উপস্থিতি। ভিতরে ডেটা আইডি টোকেন'ক বলা হয় অ্যাপ্লিকেশন [দাবি].

ওআইডিসির ক্ষেত্রেও একটি আদর্শ উপায় রয়েছে যার দ্বারা মক্কেল ব্যক্তি সম্পর্কে অতিরিক্ত তথ্য অনুরোধ করতে পারে [পরিচয়] থেকে অনুমোদন সার্ভার'a, উদাহরণস্বরূপ, একটি ইমেল ঠিকানা ব্যবহার করে অ্যাক্সেস টোকেন.

OAuth এবং OIDC সম্পর্কে আরও জানুন

সুতরাং, আমরা OAuth এবং OIDC কীভাবে কাজ করে তা সংক্ষেপে পর্যালোচনা করেছি। গভীর খনন করতে প্রস্তুত? OAuth 2.0 এবং OpenID Connect সম্পর্কে আরও জানতে সাহায্য করার জন্য এখানে অতিরিক্ত সংস্থান রয়েছে:

• হেক OAuth কি?
• OAuth বা OpenID Connect সম্পর্কে কেউই চিন্তা করে না
• PKCE ফ্লো সহ OAuth 2.0 অনুমোদন কোড প্রয়োগ করুন
• OAuth 2.0 অনুদানের ধরন কি?
• কমান্ড লাইন থেকে OAuth 2.0
• SQL সার্ভারের সাথে একটি নিরাপদ Node.js অ্যাপ তৈরি করুন

বরাবরের মত, মন্তব্য নির্দ্বিধায়. আমাদের সর্বশেষ খবরের সাথে আপ টু ডেট রাখতে, সদস্যতা নিন Twitter и ইউটিউব ডেভেলপারদের জন্য ওকটা!

অনুবাদক থেকে PS

আমাদের ব্লগেও পড়ুন:

• «কুবারনেটসে নিরাপত্তার এবিসি: প্রমাণীকরণ, অনুমোদন, অডিটিং";
• «Kubernetes ব্যবহারকারী এবং অনুমোদন RBAC";
• «33+ কুবারনেটস নিরাপত্তা সরঞ্জাম";
• «ডকার পাত্রে নিরাপত্তা».

উত্স: www.habr.com