Treoir Léirithe ar OAuth agus OpenID Connect

Nóta. aistrigh.: Míníonn an t-alt iontach seo le Okta conas a oibríonn OAuth agus OIDC (OpenID Connect) ar bhealach simplí soiléir. Beidh an t-eolas seo úsáideach d'fhorbróirí, do riarthóirí córais, agus fiú d'úsáideoirí rialta "feidhmchláir ghréasáin a bhfuil tóir orthu, a mhalartóidh sonraí rúnda le seirbhísí eile, is dócha.

I ré cloiche an Idirlín, bhí sé éasca faisnéis a roinnt idir seirbhísí. Níor thug tú ach do logáil isteach agus do phasfhocal ó sheirbhís amháin go seirbhís eile, ionas gur chuir sé isteach ar do chuntas agus go bhfuair sé aon fhaisnéis a bhí ag teastáil uaidh.

"Tabhair dom do chuntas bainc." “Geallaimid go mbeidh gach rud go breá leis an bpasfhocal agus leis an airgead. Sin macánta, macánta!" *hee hee*

Uafás! Níor cheart go n-iarrfadh éinne ar úsáideoir ainm úsáideora agus pasfhocal a roinnt riamh, dintiúir, le seirbhís eile. Níl aon ráthaíocht ann go gcoimeádfaidh an eagraíocht atá taobh thiar den tseirbhís seo na sonraí slán agus nach mbaileoidh sí níos mó faisnéise pearsanta ná mar is gá. D'fhéadfadh sé a bheith dÚsachtach, ach úsáideann roinnt apps an cleachtas seo fós!

Sa lá atá inniu ann tá caighdeán amháin ann a ligeann do sheirbhís amháin sonraí seirbhís eile a úsáid go slán. Ar an drochuair, úsáideann caighdeáin den sórt sin go leor béarlagair agus téarmaí, rud a chuireann casta ar a dtuiscint. Is é cuspóir an ábhair seo ná míniú a thabhairt ar an gcaoi a n-oibríonn siad agus léaráidí simplí á n-úsáid agat (An dóigh leat go bhfuil mo líníochtaí cosúil le dóbáil leanaí? Ó bhuel!).

Dála an scéil, tá an treoir seo ar fáil freisin i bhformáid físeáin:

A dhaoine uaisle, fáilte roimh: OAuth 2.0

OAuth 2.0 is caighdeán slándála é a ligeann d’fheidhmchlár amháin cead a fháil rochtain a fháil ar fhaisnéis i bhfeidhmchlár eile. Seicheamh na gcéimeanna chun ceadúnas a eisiúint [cead] (Nó toiliú [toiliú]) glaoch go minic údarú [údarú] nó fiú údarú tarmligthe [údarú tarmligthe]. Leis an gcaighdeán seo, ceadaíonn tú d’fheidhmchlár sonraí a léamh nó feidhmeanna feidhmchláir eile a úsáid ar do shon gan do phasfhocal a thabhairt dó. Aicme!

Mar shampla, déarfainn go n-aimsíonn tú suíomh Gréasáin darb ainm “Unlucky Pun of the Day” [Pun Uafásach an Lae] agus chinn siad clárú air chun pointí laethúla a fháil i bhfoirm teachtaireachtaí téacs ar an bhfón. Thaitin an suíomh go mór leat, agus shocraigh tú é a roinnt le do chairde go léir. Tar éis an tsaoil, is maith le gach duine puns creepy, ceart?

“Punann trua an lae: Ar chuala tú faoin bhfear a chaill leath chlé a choirp? Anois tá sé i gcónaí ceart!" (thart ar aistriúchán, toisc go bhfuil a punann féin ag an mbunleagan - approx. transl.)

Is léir nach rogha é scríobh chuig gach duine ón liosta teagmhála. Agus, má tá tú fiú beagán cosúil liomsa, ansin beidh tú ag dul go dtí aon faid chun obair gan ghá a sheachaint. Ar ámharaí an tsaoil, is féidir le Fear Uafásach an Lae cuireadh a thabhairt do do chairde go léir leis féin! Chun seo a dhéanamh, níl le déanamh agat ach rochtain a oscailt ar ríomhphost do theagmhálaithe - seolfaidh an suíomh féin cuirí (rialacha OAuth) chucu!

“Is breá le gach duine punanna! - Logáilte isteach cheana féin? “Ar mhaith leat cead a thabhairt do shuíomh Gréasáin Uafásach an Lae rochtain a fháil ar do liosta teagmhála? - Go raibh maith agat! As seo amach, seolfaimid meabhrúcháin gach lá chuig gach duine a bhfuil aithne agat air, go dtí deireadh an ama! Is tú an cara is fearr!"

1. Roghnaigh do sheirbhís ríomhphoist.
2. Más gá, téigh go dtí an suíomh ríomhphoist agus sínigh isteach i do chuntas.
3. Tabhair cead Punt Uafásach an Lae rochtain a fháil ar do theagmhálaithe.
4. Fill ar ais go suíomh Uafásach Puna an Lae.

Ar eagla go n-athraíonn tú d’intinn, cuireann feidhmchláir a úsáideann OAuth bealach ar fáil freisin chun rochtain a chúlghairm. Chomh luath agus a shocraíonn tú nach mian leat teagmháil a roinnt le Punt Uafásach an Lae a thuilleadh, is féidir leat dul go dtí an suíomh ríomhphoist agus an suíomh punainne a bhaint de liosta na n-iarratas údaraithe.

Sreabhadh OAuth

Táimid díreach tar éis dul tríd an rud ar a dtugtar de ghnáth sreabhadh [sreabhadh] OAuth. Inár sampla, cuimsíonn an sreabhadh seo céimeanna infheicthe, chomh maith le roinnt céimeanna dofheicthe, ina n-aontaíonn dhá sheirbhís ar mhalartú slán faisnéise. Úsáideann an sampla Terrible Pun of the Day roimhe seo an sreabhadh OAuth 2.0 is coitianta, ar a dtugtar an sreabhadh "cód údaraithe". [sreabhadh "cód údaraithe"].

Sula tumfaidh tú isteach na sonraí ar conas a oibríonn OAuth, déanaimis labhairt faoi bhrí roinnt téarmaí:

• Úinéir Acmhainne:

  
  
  Is tusa! Is leat do dhintiúir, do shonraí, agus rialaíonn tú gach gníomhaíocht a d’fhéadfaí a dhéanamh ar do chuntais.

• Cliant:

  
  
  Feidhmchlár (mar shampla, seirbhís uafásach Punta an Lae) atá ag iarraidh rochtain a fháil ar ghníomhartha áirithe nó iad a dhéanamh thar ceann Úinéir Acmhainne'á.

• Freastalaí Údaraithe:

  
  
  An app a bhfuil a fhios Úinéir Acmhainne'a agus ina bhfuil u Úinéir Acmhainne'a bhfuil cuntas agat cheana féin.

• freastalaí acmhainne:

  
  
  Comhéadan ríomhchláraithe feidhmchlár (API) nó seirbhís a Cliant ag iarraidh a úsáid ar son Úinéir Acmhainne'á.

• Atreorú URI:

  
  
  An nasc go Freastalaí Údaraithe atreoróidh Úinéir Acmhainne' agus tar éis cead a thabhairt Cliant'ag. Uaireanta tugtar an "URL Aisghairme" air.

• cineál freagartha:

  
  
  An cineál faisnéise a bhfuiltear ag súil leis a bheith faighte Cliant. An ceann is coitianta cineál freagartha'ohm é an cód, .i Cliant ag súil a fháil Cód Údaraithe.

• Raon feidhme:

  
  
  Seo cur síos mionsonraithe ar na ceadanna atá ag teastáil Clianty, amhail rochtain a fháil ar shonraí nó gníomhartha áirithe a dhéanamh.

• Toiliú:

  
  
  Freastalaí Údaraithe a thógann Scopesiarrtha Cliant'om, agus iarrann Úinéir Acmhainne'a, an bhfuil sé réidh a sholáthar Cliant'na ceadanna cuí a bheith agat.

• Aitheantas Cliant:

  
  
  Úsáidtear an t-aitheantas seo chun a aithint Cliant'ar Freastalaí Údaraithe'e.

• Rúnda na gCliant:

  
  
  Is é seo an focal faire nach bhfuil ar eolas ach amháin Cliantu agus Freastalaí Údaraithe'ag. Ligeann sé dóibh faisnéis a roinnt go príobháideach.

• Cód Údaraithe:

  
  
  Cód sealadach le tréimhse ghairid bailíochta, a Cliant soláthraíonn Freastalaí Údaraithe'y mar mhalairt ar Rochtain Rochtana.

• Rochtain Rochtana:

  
  
  Is í an eochair a úsáidfidh an cliant chun cumarsáid a dhéanamh leis freastalaí acmhainne'om. Cineál suaitheantas nó eochairchárta a sholáthraíonn Cliant'cead a bheith agat sonraí a iarraidh nó gníomhartha a dhéanamh ar freastalaí acmhainne'e ar do shon.

Tabhair faoi deara: Uaireanta is an freastalaí céanna é Freastalaí Údaraithe agus Freastalaí Acmhainne. I gcásanna áirithe, áfach, d’fhéadfadh gur freastalaithe éagsúla iad seo, fiú mura mbaineann siad leis an eagraíocht chéanna. Mar shampla, d’fhéadfadh an Freastalaí Údaraithe a bheith ina sheirbhís tríú páirtí a bhfuil muinín ag an bhFreastalaí Acmhainne as.

Anois go bhfuil croíchoincheapa OAuth 2.0 clúdaithe againn, déanaimis dul ar ais go dtí ár sampla agus breathnú níos dlúithe ar cad a tharlaíonn i sreabhadh OAuth.

1. tusa, Úinéir Acmhainne, ba mhaith leat an tseirbhís Punt Uafásach an Lae a sholáthar (Clianty) rochtain ar do theagmhálaithe ionas gur féidir leo cuirí a sheoladh chuig do chairde go léir.
2. Cliant atreoraíonn an brabhsálaí go dtí an leathanach Freastalaí Údaraithe'a agus cuir san áireamh sa cheist Aitheantas Cliant, Atreorú URI, cineál freagartha agus ceann amháin nó níos mó Scopes (ceadanna) atá de dhíth air.
3. Freastalaí Údaraithe fíoraíonn sé thú, ag iarraidh ainm úsáideora agus pasfhocal más gá.
4. Freastalaí Údaraithe taispeánann foirm Toiliú (dearbhuithe) le liosta de na Scopesiarrtha Cliant'om. Aontaíonn nó diúltaíonn tú.
5. Freastalaí Údaraithe atreoraíonn tú chuig an suíomh Cliant'a, ag baint úsáide as Atreorú URI le Cód Údaraithe (cód údaraithe).
6. Cliant cumarsáid dhíreach le Freastalaí Údaraithe'ohm (ag dul thar an mbrabhsálaí Úinéir Acmhainne'a) agus seolann go sábháilte Aitheantas Cliant, Rúnda na gCliant и Cód Údaraithe.
7. Freastalaí Údaraithe seiceálann sé na sonraí agus freagraíonn sé le Rochtain Rochtana'om (comhartha rochtana).
8. Anois Cliant féidir a úsáid Rochtain Rochtana iarratas a sheoladh chuig freastalaí acmhainne chun liosta teagmhálaithe a fháil.

ID Cliant agus Rúnda

I bhfad sular thug tú cead do Uafásach Puna an Lae rochtain a fháil ar do theagmhálaithe, bhí caidreamh oibre bunaithe ag an gCliant agus an Freastalaí Údaraithe. Ghin an Freastalaí Údaraithe Aitheantas an Chliaint agus Rúnda an Chliaint (ar a dtugtar uaireanta ID Aitheantais и Rúnda App) agus chuir sé chuig an gCliant iad le haghaidh tuilleadh idirghníomhaíochta laistigh de OAuth.

"- Dia dhuit! Ba mhaith liom a bheith ag obair leat! - Cinnte, ní fadhb! Seo d’ID Cliant agus Rúnda!”

Tugann an t-ainm le tuiscint nach mór Rún an Chliaint a choinneáil faoi rún ionas nach mbeidh ach an Cliant agus an Freastalaí Údaraithe ar an eolas faoi. Tar éis an tsaoil, is lena chabhair a dheimhníonn an Freastalaí Údaraithe fírinne an Chliant.

Ach ní hé sin go léir... Fáilte romhat OpenID Connect!

Níl OAuth 2.0 deartha ach le haghaidh údarú - rochtain ar shonraí agus ar fheidhmeanna a sholáthar ó fheidhmchlár amháin go feidhmchlár eile. OpenID Connect (OIDC) sraith tanaí ar bharr OAuth 2.0 a chuireann sonraí logáil isteach agus próifíl an úsáideora atá logáilte isteach sa chuntas. Is minic a thagraítear d’eagrú seisiún logála isteach fíordheimhnithe [fíordheimhniú], agus faisnéis faoin úsáideoir atá logáilte isteach sa chóras (i.e. faoi Úinéir Acmhainne'e), - sonraí pearsanta [aitheantas]. Má thacaíonn an Freastalaí Údaraithe le OIDC, tagraítear dó uaireanta mar soláthraí sonraí pearsanta [soláthraí aitheantais]toisc go soláthraíonn sé Cliant'bhfuil eolas agat faoi Úinéir Acmhainne'e.

Ligeann OpenID Connect duit cásanna a chur i bhfeidhm inar féidir logáil isteach amháin a úsáid in ilfheidhmchláir - tugtar an cur chuige seo freisin síniú amháin (SSO). Mar shampla, d’fhéadfadh feidhmchlár tacú le comhtháthú SSO le líonraí sóisialta mar Facebook nó Twitter, rud a ligeann d’úsáideoirí cuntas atá acu cheana féin agus ar fearr leo é a úsáid a úsáid.

Breathnaíonn an sreabhadh (sreabhadh) OpenID Connect mar an gcéanna i gcás OAuth. Is é an t-aon difríocht atá ann ná gurb é an raon feidhme sonrach a úsáidtear san iarratas príomhúil openid, - A Cliant sa deireadh faigheann mhaith Rochtain RochtanaAgus Comhartha ID.

Díreach mar atá sa sreabhadh OAuth, Rochtain Rochtana in OpenID Connect, seo luach éigin nach bhfuil soiléir Cliant'ag. Ó thaobh Cliant'á Rochtain Rochtana is ionann é agus teaghrán carachtar a chuirtear ar aghaidh in éineacht le gach iarratas chun freastalaí acmhainne'y, a chinneann an bhfuil an comhartha bailí. Comhartha ID Léiríonn sé rud go hiomlán difriúil.

Is JWT é ID Token

Comhartha ID Is teaghrán carachtar atá formáidithe go speisialta é JSON Web Token nó JWT (uaireanta fuaimnítear comharthaí JWT mar "jots"). Do bhreathnóirí ón taobh amuigh, d'fhéadfadh JWT cosúil le gibberish dothuigthe, ach Cliant is féidir faisnéis éagsúla a bhaint as an JWT, mar shampla ID, ainm úsáideora, am logála isteach, dáta éaga Comhartha ID'a, láithreacht iarrachtaí cur isteach ar an JWT. Sonraí taobh istigh Comhartha ID'a a thugtar air iarratais [éilimh].

I gcás OIDC, tá bealach caighdeánach ann freisin Cliant féadfaidh sé faisnéis bhreise a iarraidh faoin duine aonair [aitheantas] ó Freastalaí Údaraithe'a, mar shampla, seoladh ríomhphoist ag baint úsáide as Rochtain Rochtana.

Foghlaim tuilleadh faoi OAuth agus OIDC

Mar sin, rinneamar athbhreithniú gairid ar conas a oibríonn OAuth agus OIDC. Réidh le tochailt níos doimhne? Seo acmhainní breise chun cabhrú leat tuilleadh a fhoghlaim faoi OAuth 2.0 agus OpenID Connect:

• Cad é an Heck OAuth?
• Is cúis imní d'aon duine faoi OAuth nó OpenID Connect
• Cód Údaraithe OAuth 2.0 le Sreabhadh PKCE a chur i bhfeidhm
• Cad é an Cineál Deontais OAuth 2.0?
• OAuth 2.0 Ón Líne Ceannais
• Tóg aip Slán Node.js le Freastalaí SQL

Mar is gnáth, bíodh leisce ort trácht a dhéanamh. Chun fanacht suas chun dáta lenár nuacht is déanaí, liostáil le Twitter и YouTube Ceart go leor d'fhorbróirí!

PS ó aistritheoir

Léigh freisin ar ár mblag:

• «An ABC of Security in Kubernetes: Fíordheimhniú, Údarú, Iniúchóireacht";
• «Úsáideoirí agus Údarú RBAC i Kubernetes";
• «33+ uirlisí slándála Kubernetes";
• «Slándáil do choimeádáin Docker'.

Foinse: will.com