ការណែនាំអំពីរូបភាពសម្រាប់ OAuth និង OpenID Connect

ចំណាំ។ បកប្រែ៖ អត្ថបទដ៏អស្ចារ្យនេះដោយ Okta ពន្យល់ពីរបៀបដែល OAuth និង OIDC (OpenID Connect) ដំណើរការតាមរបៀបសាមញ្ញ និងច្បាស់លាស់។ ចំណេះដឹងនេះនឹងមានប្រយោជន៍សម្រាប់អ្នកអភិវឌ្ឍន៍ អ្នកគ្រប់គ្រងប្រព័ន្ធ និងសូម្បីតែ "អ្នកប្រើប្រាស់ធម្មតា" នៃកម្មវិធីគេហទំព័រពេញនិយម ដែលភាគច្រើនទំនងជាផ្លាស់ប្តូរទិន្នន័យសម្ងាត់ជាមួយសេវាកម្មផ្សេងទៀតផងដែរ។

នៅក្នុងយុគសម័យថ្មនៃអ៊ីនធឺណិត ការចែករំលែកព័ត៌មានរវាងសេវាកម្មគឺមានភាពងាយស្រួល។ អ្នកគ្រាន់តែផ្តល់ការចូល និងពាក្យសម្ងាត់របស់អ្នកពីសេវាកម្មមួយទៅសេវាកម្មមួយទៀត ដូច្នេះគាត់បញ្ចូលគណនីរបស់អ្នក និងទទួលបានព័ត៌មានណាមួយដែលគាត់ត្រូវការ។

"ផ្តល់ឱ្យខ្ញុំនូវគណនីធនាគាររបស់អ្នក។" “យើងសន្យាថាអ្វីៗនឹងល្អជាមួយពាក្យសម្ងាត់ និងលុយ។ នេះ​ជា​ការ​ស្មោះ​ត្រង់!»។ *ហេ ហេ*

រន្ធត់! គ្មាននរណាម្នាក់គួរតម្រូវឱ្យអ្នកប្រើប្រាស់ចែករំលែកឈ្មោះអ្នកប្រើប្រាស់ និងពាក្យសម្ងាត់នោះទេ លិខិតសម្គាល់ជាមួយនឹងសេវាកម្មផ្សេងទៀត។ មិនមានការធានាថាស្ថាប័ននៅពីក្រោយសេវាកម្មនេះនឹងរក្សាទិន្នន័យឱ្យមានសុវត្ថិភាព ហើយនឹងមិនប្រមូលព័ត៌មានផ្ទាល់ខ្លួនលើសពីការចាំបាច់នោះទេ។ វាអាចស្តាប់ទៅដូចជាឆ្កួត ប៉ុន្តែកម្មវិធីមួយចំនួននៅតែប្រើការអនុវត្តនេះ!

សព្វថ្ងៃនេះមានស្តង់ដារតែមួយដែលអនុញ្ញាតឱ្យសេវាកម្មមួយប្រើប្រាស់ទិន្នន័យរបស់មួយផ្សេងទៀតដោយសុវត្ថិភាព។ ជាអកុសល ស្តង់ដារបែបនេះប្រើភាសា និងពាក្យជាច្រើន ដែលធ្វើអោយស្មុគស្មាញដល់ការយល់ដឹងរបស់ពួកគេ។ គោលបំណងនៃសម្ភារៈនេះគឺដើម្បីពន្យល់ពីរបៀបដែលពួកគេធ្វើការដោយប្រើរូបភាពសាមញ្ញ (តើអ្នកគិតថាគំនូររបស់ខ្ញុំស្រដៀងនឹងការបំប៉ោងរបស់កុមារឬ? អូ!)

ដោយវិធីនេះ ការណែនាំនេះក៏មានជាទម្រង់វីដេអូផងដែរ៖

អស់លោក លោកស្រី សូមស្វាគមន៍៖ OAuth 2.0

OAuth ១ គឺជាស្តង់ដារសុវត្ថិភាពដែលអនុញ្ញាតឱ្យកម្មវិធីមួយទទួលបានការអនុញ្ញាតឱ្យចូលប្រើព័ត៌មាននៅក្នុងកម្មវិធីមួយផ្សេងទៀត។ លំដាប់នៃជំហានសម្រាប់ការចេញលិខិតអនុញ្ញាត [ការអនុញ្ញាត] (ឬ ការយល់ព្រម [ការយល់ព្រម]) ជាញឹកញាប់ហៅ ការអនុញ្ញាត [ការអនុញ្ញាត] ឬសូម្បី ការអនុញ្ញាតដែលបានផ្ទេរសិទ្ធិ [ការអនុញ្ញាតដែលបានផ្ទេរសិទ្ធិ]. ជាមួយនឹងស្តង់ដារនេះ អ្នកអនុញ្ញាតឱ្យកម្មវិធីអានទិន្នន័យ ឬប្រើមុខងាររបស់កម្មវិធីផ្សេងទៀតជំនួសអ្នកដោយមិនចាំបាច់ផ្តល់ពាក្យសម្ងាត់របស់អ្នកទេ។ ថ្នាក់!

ជាឧទាហរណ៍ ចូរនិយាយថាអ្នករកឃើញគេហទំព័រមួយឈ្មោះថា "Unlucky Pun of the Day" [Pun ដ៏គួរឱ្យភ័យខ្លាចនៃថ្ងៃ] ហើយ​បាន​សម្រេច​ចិត្ត​ចុះ​ឈ្មោះ​ក្នុង​គោល​បំណង​ដើម្បី​ទទួល​បាន​សារ​ជា​រៀង​រាល់​ថ្ងៃ​ក្នុង​ទម្រង់​ជា​សារ​តាម​ទូរស័ព្ទ។ អ្នកពិតជាចូលចិត្តគេហទំព័រនេះ ហើយអ្នកសម្រេចចិត្តចែករំលែកវាជាមួយមិត្តភក្តិរបស់អ្នកទាំងអស់។ យ៉ាងណាមិញ អ្នក​រាល់​គ្នា​ចូល​ចិត្ត​ពាក្យ​ចចាមអារ៉ាម​ដ៏​គួរ​ឲ្យ​ខ្លាច​មែន​ទេ?

"សំណាងអាក្រក់នៃថ្ងៃ: ឮអំពីបុរសម្នាក់ដែលបានបាត់បង់ពាក់កណ្តាលនៃរាងកាយរបស់គាត់? ឥឡូវនេះគាត់តែងតែត្រឹមត្រូវ!” (ការ​បក​ប្រែ​ប្រហាក់​ប្រហែល​ព្រោះ​ដើម​មាន pun ផ្ទាល់​ខ្លួន - approx. transl ។ )

វាច្បាស់ណាស់ថាការសរសេរទៅកាន់មនុស្សម្នាក់ៗពីបញ្ជីទំនាក់ទំនងមិនមែនជាជម្រើសទេ។ ហើយ​ប្រសិន​បើ​អ្នក​ដូច​ខ្ញុំ​បន្តិច នោះ​អ្នក​នឹង​ទៅ​ដល់​ពេល​ណា​មួយ​ដើម្បី​ចៀសវាង​ការងារ​ដែល​មិន​ចាំបាច់។ សំណាងហើយ Terrible Pun of the Day អាចអញ្ជើញមិត្តភ័ក្តិរបស់អ្នកទាំងអស់ដោយខ្លួនឯងបាន! ដើម្បីធ្វើដូច្នេះ អ្នកគ្រាន់តែត្រូវបើកការចូលប្រើអ៊ីមែលទំនាក់ទំនងរបស់អ្នក - គេហទំព័រខ្លួនវានឹងផ្ញើការអញ្ជើញឱ្យពួកគេ (ច្បាប់ OAuth)!

“គ្រប់គ្នាស្រលាញ់ពាក្យពេចន៍! - ចូលហើយឬនៅ? "តើអ្នកចង់អនុញ្ញាតឱ្យគេហទំព័រ Terrible Pun of the Day ចូលទៅកាន់បញ្ជីទំនាក់ទំនងរបស់អ្នកទេ? - អរគុណ! ចាប់ពីពេលនេះតទៅ យើងនឹងផ្ញើការរំលឹកជារៀងរាល់ថ្ងៃដល់អ្នករាល់គ្នាដែលអ្នកបានស្គាល់ រហូតដល់ចុងបញ្ចប់នៃពេលវេលា! អ្នកគឺជាមិត្តល្អបំផុត!”

1. ជ្រើសរើសសេវាកម្មអ៊ីមែលរបស់អ្នក។
2. បើចាំបាច់ សូមចូលទៅកាន់គេហទំព័រសំបុត្រ ហើយចូលគណនីរបស់អ្នក។
3. ផ្តល់ការអនុញ្ញាតឱ្យ Terrible Pun of the Day ចូលប្រើទំនាក់ទំនងរបស់អ្នក។
4. ត្រឡប់ទៅគេហទំព័រ Terrible Pun of the Day វិញ ។

ក្នុងករណីដែលអ្នកផ្លាស់ប្តូរចិត្ត កម្មវិធីដែលប្រើ OAuth ក៏ផ្តល់មធ្យោបាយដើម្បីដកហូតសិទ្ធិចូលប្រើប្រាស់ផងដែរ។ នៅពេលដែលអ្នកសម្រេចចិត្តថាអ្នកលែងចង់ចែករំលែកទំនាក់ទំនងជាមួយ Terrible Pun of the Day ទៀតហើយ អ្នកអាចចូលទៅកាន់គេហទំព័រសំបុត្រ ហើយលុបគេហទំព័រនេះចេញពីបញ្ជីកម្មវិធីដែលមានការអនុញ្ញាត។

លំហូរ OAuth

យើងទើបតែបានឆ្លងកាត់អ្វីដែលគេហៅថាជាធម្មតា លំហូរ [លំហូរ] OAuth ក្នុងឧទាហរណ៍របស់យើង លំហូរនេះមានជំហានដែលអាចមើលឃើញ ក៏ដូចជាជំហានដែលមើលមិនឃើញជាច្រើន ដែលក្នុងនោះសេវាកម្មពីរយល់ព្រមលើការផ្លាស់ប្តូរព័ត៌មានប្រកបដោយសុវត្ថិភាព។ ឧទាហរណ៍ Terrible Pun of the Day ពីមុនប្រើលំហូរ OAuth 2.0 ទូទៅបំផុតដែលត្រូវបានគេស្គាល់ថាជាលំហូរ "កូដអនុញ្ញាត" ។ [លំហូរ "កូដអនុញ្ញាត"].

មុននឹងស្វែងយល់លម្អិតអំពីរបៀបដែល OAuth ដំណើរការ សូមនិយាយអំពីអត្ថន័យនៃពាក្យមួយចំនួន៖

• ម្ចាស់ធនធាន:

  
  
  គឺអ្នក! អ្នកជាម្ចាស់ព័ត៌មានសម្ងាត់ ទិន្នន័យរបស់អ្នក និងគ្រប់គ្រងសកម្មភាពទាំងអស់ដែលអាចត្រូវបានអនុវត្តនៅលើគណនីរបស់អ្នក។

• ម៉ាស៊ីន​ភ្ញៀវ:

  
  
  កម្មវិធី (ឧទាហរណ៍ សេវាកម្ម Terrible Pun of the Day) ដែលចង់ចូលប្រើ ឬអនុវត្តសកម្មភាពមួយចំនួនក្នុងនាម ម្ចាស់ធនធាន'a

• ម៉ាស៊ីនមេអនុញ្ញាត:

  
  
  កម្មវិធីដែលដឹង ម្ចាស់ធនធាន'a និងនៅក្នុងដែលអ្នក ម្ចាស់ធនធាន'មានគណនីរួចហើយ។

• ម៉ាស៊ីនមេធនធាន:

  
  
  ចំណុចប្រទាក់កម្មវិធីកម្មវិធី (API) ឬសេវាកម្មនោះ។ ម៉ាស៊ីន​ភ្ញៀវ ចង់ប្រើក្នុងនាម ម្ចាស់ធនធាន'a

• ប្តូរទិស URI:

  
  
  តំណភ្ជាប់នោះ។ ម៉ាស៊ីនមេអនុញ្ញាត នឹងបញ្ជូនបន្ត ម្ចាស់ធនធានហើយ​បន្ទាប់​ពី​បាន​អនុញ្ញាត ម៉ាស៊ីន​ភ្ញៀវ'នៅ។ ជួនកាលវាត្រូវបានគេហៅថា "URL ហៅត្រឡប់មកវិញ" ។

• ប្រភេទឆ្លើយតប:

  
  
  ប្រភេទព័ត៌មានដែលរំពឹងថានឹងទទួលបាន ម៉ាស៊ីន​ភ្ញៀវ. ទូទៅបំផុត ប្រភេទឆ្លើយតប'អូម គឺជាលេខកូដ ម៉ាស៊ីន​ភ្ញៀវ រំពឹងថានឹងទទួលបាន កូដ​អនុញ្ញាត.

• វិសាលភាព:

  
  
  នេះគឺជាការពិពណ៌នាលម្អិតនៃការអនុញ្ញាតដែលត្រូវការ ម៉ាស៊ីន​ភ្ញៀវ'y ដូចជាការចូលប្រើទិន្នន័យ ឬអនុវត្តសកម្មភាពជាក់លាក់។

• ការយល់ព្រម:

  
  
  ម៉ាស៊ីនមេអនុញ្ញាត ចំណាយពេល វិសាលភាពបានស្នើសុំ ម៉ាស៊ីន​ភ្ញៀវអូម ហើយសួរ ម្ចាស់ធនធាន'a, តើគាត់ត្រៀមខ្លួនជាស្រេចក្នុងការផ្តល់ ម៉ាស៊ីន​ភ្ញៀវ'មានការអនុញ្ញាតត្រឹមត្រូវ។

• លេខសម្គាល់អតិថិជន:

  
  
  លេខសម្គាល់នេះត្រូវបានប្រើដើម្បីកំណត់អត្តសញ្ញាណ ម៉ាស៊ីន​ភ្ញៀវលើ ម៉ាស៊ីនមេអនុញ្ញាតអ៊ី

• អាថ៌កំបាំងអតិថិជន:

  
  
  នេះ​ជា​ពាក្យ​សម្ងាត់​ដែល​គេ​ដឹង​តែ​ប៉ុណ្ណោះ។ ម៉ាស៊ីន​ភ្ញៀវ'អ្នក និង ម៉ាស៊ីនមេអនុញ្ញាត'នៅ។ វាអនុញ្ញាតឱ្យពួកគេចែករំលែកព័ត៌មានជាលក្ខណៈឯកជន។

• កូដ​អនុញ្ញាត:

  
  
  លេខកូដបណ្តោះអាសន្នជាមួយនឹងរយៈពេលខ្លីនៃសុពលភាព, ដែល ម៉ាស៊ីន​ភ្ញៀវ ផ្តល់ជូន ម៉ាស៊ីនមេអនុញ្ញាតy ជាថ្នូរនឹង ចូលប្រើថូខឹន.

• ចូលប្រើថូខឹន:

  
  
  គន្លឹះដែលអតិថិជននឹងប្រើដើម្បីទំនាក់ទំនង ម៉ាស៊ីនមេធនធានអូម ប្រភេទនៃផ្លាកសញ្ញា ឬកាតគន្លឹះដែលផ្តល់ ម៉ាស៊ីន​ភ្ញៀវ'មានសិទ្ធិស្នើសុំទិន្នន័យ ឬធ្វើសកម្មភាពលើ ម៉ាស៊ីនមេធនធាន'e ក្នុងនាមអ្នក។

ការកត់សម្គាល់៖ ពេលខ្លះ​ម៉ាស៊ីនមេ​អនុញ្ញាត និង​ម៉ាស៊ីនមេ​ធនធាន​គឺជា​ម៉ាស៊ីនមេ​តែមួយ។ ទោះយ៉ាងណាក៏ដោយ ក្នុងករណីខ្លះ ទាំងនេះអាចជាម៉ាស៊ីនមេផ្សេងគ្នា ទោះបីជាវាមិនមែនជាកម្មសិទ្ធិរបស់ស្ថាប័នតែមួយក៏ដោយ។ ឧទាហរណ៍ ម៉ាស៊ីនមេអនុញ្ញាតអាចជាសេវាកម្មភាគីទីបីដែលទុកចិត្តដោយម៉ាស៊ីនមេធនធាន។

ឥឡូវនេះ យើងបានគ្របដណ្តប់គោលគំនិតស្នូលនៃ OAuth 2.0 សូមត្រលប់ទៅឧទាហរណ៍របស់យើង ហើយពិនិត្យមើលឱ្យកាន់តែច្បាស់នូវអ្វីដែលកើតឡើងនៅក្នុងលំហូរ OAuth ។

1. អ្នក ម្ចាស់ធនធានអ្នកចង់ផ្តល់សេវាកម្ម Terrible Pun of the Day (ម៉ាស៊ីន​ភ្ញៀវy) ចូលទៅកាន់ទំនាក់ទំនងរបស់អ្នក ដើម្បីឱ្យពួកគេអាចផ្ញើការអញ្ជើញទៅកាន់មិត្តរបស់អ្នកទាំងអស់។
2. ម៉ាស៊ីន​ភ្ញៀវ បញ្ជូនបន្តកម្មវិធីរុករកតាមអ៊ីនធឺណិតទៅទំព័រ ម៉ាស៊ីនមេអនុញ្ញាត'a និងរួមបញ្ចូលក្នុងសំណួរ លេខសម្គាល់អតិថិជន, ប្តូរទិស URI, ប្រភេទឆ្លើយតប និងមួយ ឬច្រើន។ វិសាលភាព (ការអនុញ្ញាត) វាត្រូវការ។
3. ម៉ាស៊ីនមេអនុញ្ញាត ផ្ទៀងផ្ទាត់អ្នក ដោយស្នើសុំឈ្មោះអ្នកប្រើប្រាស់ និងពាក្យសម្ងាត់ប្រសិនបើចាំបាច់។
4. ម៉ាស៊ីនមេអនុញ្ញាត បង្ហាញទម្រង់មួយ។ ការយល់ព្រម (ការបញ្ជាក់) ជាមួយនឹងបញ្ជីទាំងអស់។ វិសាលភាពបានស្នើសុំ ម៉ាស៊ីន​ភ្ញៀវអូម អ្នកយល់ព្រមឬបដិសេធ។
5. ម៉ាស៊ីនមេអនុញ្ញាត បញ្ជូនអ្នកទៅកាន់គេហទំព័រ ម៉ាស៊ីន​ភ្ញៀវ'a ដោយប្រើ ប្តូរទិស URI រួមជាមួយ។ កូដ​អនុញ្ញាត (កូដ​អនុញ្ញាត)។
6. ម៉ាស៊ីន​ភ្ញៀវ ទំនាក់ទំនងដោយផ្ទាល់ជាមួយ ម៉ាស៊ីនមេអនុញ្ញាត'អូម (ឆ្លងកាត់កម្មវិធីរុករក ម្ចាស់ធនធានក) ហើយផ្ញើដោយសុវត្ថិភាព លេខសម្គាល់អតិថិជន, អាថ៌កំបាំងអតិថិជន и កូដ​អនុញ្ញាត.
7. ម៉ាស៊ីនមេអនុញ្ញាត ពិនិត្យទិន្នន័យ និងឆ្លើយតបជាមួយ ចូលប្រើថូខឹន'om (សញ្ញាសម្ងាត់ចូលប្រើ) ។
8. ឥឡូវនេះ ម៉ាស៊ីន​ភ្ញៀវ អាច​ប្រើ ចូលប្រើថូខឹន ដើម្បីផ្ញើសំណើទៅ ម៉ាស៊ីនមេធនធាន ដើម្បីទទួលបានបញ្ជីទំនាក់ទំនង។

លេខសម្គាល់អតិថិជន និងសម្ងាត់

ជាយូរមុនពេលដែលអ្នកអនុញ្ញាតឱ្យ Terrible Pun of the Day ចូលប្រើទំនាក់ទំនងរបស់អ្នក Client និង Authorization Server បានបង្កើតទំនាក់ទំនងការងារ។ ម៉ាស៊ីនមេផ្តល់សិទ្ធិបានបង្កើតលេខសម្គាល់អតិថិជន និងសម្ងាត់អតិថិជន (ជួនកាលគេហៅថា លេខសម្គាល់កម្មវិធី и អាថ៌កំបាំងកម្មវិធី) ហើយបានបញ្ជូនពួកគេទៅអតិថិជនសម្រាប់អន្តរកម្មបន្ថែមទៀតនៅក្នុង OAuth ។

“-សួស្តី! ខ្ញុំចង់ធ្វើការជាមួយអ្នក! - ប្រាកដហើយ មិនមែនជាបញ្ហាទេ! នេះជាលេខសម្គាល់អតិថិជន និងសម្ងាត់របស់អ្នក!”

ឈ្មោះបង្កប់ន័យថា Client Secret ត្រូវតែរក្សាការសម្ងាត់ ដូច្នេះមានតែ Client និង Authorization Server ប៉ុណ្ណោះដែលដឹងវា។ យ៉ាងណាមិញ វាគឺជាមួយនឹងជំនួយរបស់គាត់ ដែលម៉ាស៊ីនមេផ្តល់សិទ្ធិបញ្ជាក់ការពិតរបស់អតិថិជន។

ប៉ុន្តែនោះមិនមែនទាំងអស់ទេ... សូមស្វាគមន៍ OpenID Connect!

OAuth 2.0 ត្រូវបានរចនាឡើងសម្រាប់តែ ការអនុញ្ញាត - ដើម្បីផ្តល់ការចូលប្រើទិន្នន័យ និងមុខងារពីកម្មវិធីមួយទៅកម្មវិធីមួយទៀត។ អូឌីស៊ីតភ្ជាប់ (ODC) គឺជាស្រទាប់ស្តើងមួយនៅផ្នែកខាងលើនៃ OAuth 2.0 ដែលបន្ថែមព័ត៌មានលម្អិតនៃការចូល និងទម្រង់របស់អ្នកប្រើប្រាស់ដែលត្រូវបានចូលទៅក្នុងគណនី។ ការរៀបចំនៃសម័យចូលត្រូវបានសំដៅជាញឹកញាប់ថាជា ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ [ការផ្ទៀងផ្ទាត់]និងព័ត៌មានអំពីអ្នកប្រើប្រាស់ដែលបានចូលទៅក្នុងប្រព័ន្ធ (ឧ. អំពី ម្ចាស់ធនធានអ៊ី) - ទិន្នន័យ​ផ្ទាល់ខ្លួន [អត្តសញ្ញាណ]. ប្រសិនបើម៉ាស៊ីនមេផ្តល់សិទ្ធិគាំទ្រ ODDC ជួនកាលវាត្រូវបានគេហៅថា អ្នកផ្តល់ទិន្នន័យផ្ទាល់ខ្លួន [អ្នកផ្តល់អត្តសញ្ញាណ]ព្រោះវាផ្តល់ ម៉ាស៊ីន​ភ្ញៀវ'មានព័ត៌មានអំពី ម្ចាស់ធនធានអ៊ី

OpenID Connect អនុញ្ញាតឱ្យអ្នកអនុវត្តសេណារីយ៉ូដែលការចូលតែមួយអាចត្រូវបានប្រើនៅក្នុងកម្មវិធីជាច្រើន - វិធីសាស្រ្តនេះត្រូវបានគេស្គាល់ផងដែរថាជា ការចុះហត្ថលេខាតែមួយ (ស.ស.)។ ឧទាហរណ៍ កម្មវិធីមួយអាចគាំទ្រការរួមបញ្ចូល SSO ជាមួយបណ្តាញសង្គមដូចជា Facebook ឬ Twitter ដែលអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ប្រើគណនីដែលពួកគេមានរួចហើយ និងចូលចិត្តប្រើ។

លំហូរ (លំហូរ) OpenID Connect មើលទៅដូចគ្នាទៅនឹងករណី OAuth ដែរ។ ភាពខុសគ្នាតែមួយគត់គឺថានៅក្នុងសំណើបឋម វិសាលភាពជាក់លាក់ដែលបានប្រើគឺ openid, - ក ម៉ាស៊ីន​ភ្ញៀវ នៅទីបំផុតទទួលបានដូច ចូលប្រើថូខឹន, និង លេខសម្គាល់.

ដូចនៅក្នុងលំហូរ OAuth ដែរ ចូលប្រើថូខឹន នៅក្នុង OpenID Connect នេះគឺជាតម្លៃមួយចំនួនដែលមិនច្បាស់លាស់ ម៉ាស៊ីន​ភ្ញៀវ'នៅ។ តាមទស្សនៈ ម៉ាស៊ីន​ភ្ញៀវ‘а ចូលប្រើថូខឹន តំណាង​ឱ្យ​ខ្សែ​អក្សរ​មួយ​ដែល​ត្រូវ​បាន​ឆ្លង​កាត់​ជាមួយ​នឹង​សំណើ​នីមួយៗ​ទៅ ម៉ាស៊ីនមេធនធាន'y ដែលកំណត់ថាតើនិមិត្តសញ្ញាត្រឹមត្រូវឬអត់។ លេខសម្គាល់ តំណាងឱ្យវត្ថុខុសគ្នាទាំងស្រុង។

ID Token គឺជា JWT

លេខសម្គាល់ គឺជាខ្សែអក្សរដែលបានធ្វើទ្រង់ទ្រាយពិសេសនៃតួអក្សរដែលគេស្គាល់ថាជា JSON Web Token ឬ JWT (ជួនកាលនិមិត្តសញ្ញា JWT ត្រូវបានប្រកាសដូចជា "jots"). ចំពោះអ្នកសង្កេតការណ៍ខាងក្រៅ JWT ហាក់ដូចជាមិនអាចយល់បាន ប៉ុន្តែ ម៉ាស៊ីន​ភ្ញៀវ អាចទាញយកព័ត៌មានផ្សេងៗពី JWT ដូចជា ID ឈ្មោះអ្នកប្រើប្រាស់ ពេលវេលាចូល កាលបរិច្ឆេទផុតកំណត់ លេខសម្គាល់'a វត្តមាននៃការប៉ុនប៉ងជ្រៀតជ្រែកជាមួយ JWT ។ ទិន្នន័យខាងក្នុង លេខសម្គាល់' ត្រូវបានគេហៅថា កម្មវិធី [ការទាមទារ].

នៅក្នុងករណីនៃ ODC ក៏មានវិធីស្តង់ដារផងដែរ។ ម៉ាស៊ីន​ភ្ញៀវ អាចស្នើសុំព័ត៌មានបន្ថែមអំពីបុគ្គល [អត្តសញ្ញាណ] ពី ម៉ាស៊ីនមេអនុញ្ញាត'a ជាឧទាហរណ៍ អាសយដ្ឋានអ៊ីមែលដោយប្រើ ចូលប្រើថូខឹន.

ស្វែងយល់បន្ថែមអំពី OAuth និង OIDC

ដូច្នេះ យើងបានពិនិត្យយ៉ាងខ្លីពីរបៀបដែល OAuth និង OIDC ដំណើរការ។ ត្រៀមខ្លួនដើម្បីជីកជ្រៅហើយឬនៅ? នេះគឺជាធនធានបន្ថែមដើម្បីជួយអ្នកស្វែងយល់បន្ថែមអំពី OAuth 2.0 និង OpenID Connect៖

• តើ OAuth ជាអ្វី?
• គ្មាននរណាម្នាក់ខ្វល់អំពី OAuth ឬ OpenID Connect ទេ។
• អនុវត្តកូដអនុញ្ញាត OAuth 2.0 ជាមួយនឹងលំហូរ PKCE
• តើប្រភេទជំនួយ OAuth 2.0 គឺជាអ្វី?
• OAuth 2.0 ពីបន្ទាត់ពាក្យបញ្ជា
• បង្កើតកម្មវិធី Secure Node.js ជាមួយ SQL Server

ដូចរាល់ដង មានអារម្មណ៍សេរីក្នុងការបញ្ចេញមតិ។ ដើម្បីតាមដានព័ត៌មានចុងក្រោយបំផុតរបស់យើង សូមជាវ Twitter и YouTube Okta សម្រាប់អ្នកអភិវឌ្ឍន៍!

PS ពីអ្នកបកប្រែ

សូមអានផងដែរនៅលើប្លក់របស់យើង៖

• «ABC នៃសន្តិសុខនៅក្នុង Kubernetes: ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ការអនុញ្ញាត សវនកម្ម»
• «អ្នកប្រើប្រាស់ និងការអនុញ្ញាត RBAC នៅក្នុង Kubernetes»
• «ឧបករណ៍សុវត្ថិភាព Kubernetes 33+»
• «សុវត្ថិភាពសម្រាប់ធុង Docker"។

ប្រភព: www.habr.com