Ilustrēta OAuth un OpenID Connect rokasgrāmata

Piezīme. tulk.: Šis lieliskais Okta raksts vienkāršā un skaidrā veidā izskaidro, kā darbojas OAuth un OIDC (OpenID Connect). Šīs zināšanas noderēs izstrādātājiem, sistēmu administratoriem un pat populāru tīmekļa lietojumprogrammu "parastajiem lietotājiem", kuri, visticamāk, arī apmainās ar konfidenciāliem datiem ar citiem servisiem.

Interneta akmens laikmetā informācijas apmaiņa starp pakalpojumiem bija vienkārša. Jūs vienkārši nodevāt savu pieteikumvārdu un paroli no viena pakalpojuma citam, lai viņš ievadītu jūsu kontu un saņemtu visu nepieciešamo informāciju.

"Dodiet man savu bankas kontu." “Apsolām, ka ar paroli un naudu viss būs kārtībā. Tas ir godīgi, godīgi!" *hee hee*

Šausmas! Nevienam nekad nevajadzētu pieprasīt lietotājam kopīgot lietotājvārdu un paroli, akreditācijas dati, ar citu pakalpojumu. Nav garantijas, ka organizācija, kas nodrošina šo pakalpojumu, nodrošinās datu drošību un neievāks vairāk personas informācijas, nekā nepieciešams. Tas var izklausīties traki, taču dažas lietotnes joprojām izmanto šo praksi!

Mūsdienās ir viens standarts, kas ļauj vienam pakalpojumam droši izmantot cita pakalpojuma datus. Diemžēl šādos standartos tiek izmantots daudz žargona un terminu, kas apgrūtina to izpratni. Šī materiāla mērķis ir izskaidrot, kā tie darbojas, izmantojot vienkāršas ilustrācijas (Vai jūs domājat, ka mani zīmējumi atgādina bērnu krāsojumu? Ak, labi!).

Starp citu, šī rokasgrāmata ir pieejama arī video formātā:

Dāmas un kungi, laipni lūdzam: OAuth 2.0

OAuth 2.0 ir drošības standarts, kas ļauj vienai lietojumprogrammai iegūt atļauju piekļūt informācijai citā lietojumprogrammā. Atļaujas izsniegšanas darbību secība [atļauja] (Vai piekrišanu [piekrišana]) bieži zvana autorizācija [atļauja] vai pat deleģētā atļauja [deleģēta pilnvara]. Izmantojot šo standartu, jūs atļaujat lietojumprogrammai lasīt datus vai izmantot citas lietojumprogrammas funkcijas jūsu vārdā, nenorādot tai jūsu paroli. Klase!

Piemēram, pieņemsim, ka atklājat vietni ar nosaukumu "Dienas neveiksmīgais vārdu spēles". [Dienas šausmīgais vārdu spēles] un nolēma tajā reģistrēties, lai saņemtu ikdienas kalambūrus īsziņu veidā pa tālruni. Jums ļoti patika vietne, un jūs nolēmāt dalīties tajā ar visiem draugiem. Galu galā, visiem patīk rāpojošas vārdu spēles, vai ne?

“Dienas neveiksmīgs vārdu spēles: vai esat dzirdējuši par puisi, kurš zaudēja ķermeņa kreiso pusi? Tagad viņam vienmēr ir taisnība! (aptuvens tulkojums, jo oriģinālam ir savs kalambūrs - apm. tulk.)

Ir skaidrs, ka rakstīt katrai personai no kontaktpersonu saraksta nav iespējama. Un, ja tu kaut nedaudz līdzināsies man, tad darīsi visu, lai izvairītos no lieka darba. Par laimi, Dienas briesmīgais vārdu spēles var uzaicināt visus jūsu draugus! Lai to izdarītu, jums vienkārši jāatver piekļuve kontaktpersonu e-pastam — vietne pati nosūtīs viņiem ielūgumus (OAuth noteikumi)!

“Visiem patīk vārdu spēles! - Jau pieteicies? “Vai vēlaties atļaut Dienas briesmīgā vārdu spēle piekļūt jūsu kontaktpersonu sarakstam? - Paldies! Turpmāk atgādinājumus sūtīsim katru dienu visiem zināmajiem, līdz pat laika galam! Tu esi labākais draugs!"

1. Izvēlieties savu e-pasta pakalpojumu.
2. Ja nepieciešams, dodieties uz pasta vietni un pierakstieties savā kontā.
3. Dodiet dienas šausmīgajam vārdu spēlēm atļauju piekļūt saviem kontaktiem.
4. Atgriezties uz drausmīgo dienas vārdu vietni.

Ja pārdomājat, lietojumprogrammas, kas izmanto OAuth, nodrošina arī veidu, kā atsaukt piekļuvi. Kad esat nolēmis, ka vairs nevēlaties koplietot kontaktus ar dienas šausmīgo vārdu spēli, varat doties uz pasta vietni un noņemt šo vietni no pilnvaroto lietojumprogrammu saraksta.

OAuth plūsma

Mēs tikko esam izgājuši cauri tam, ko parasti sauc plūsma [plūsma] OAuth. Mūsu piemērā šī plūsma sastāv no redzamiem soļiem, kā arī vairākiem neredzamiem soļiem, kuros divi dienesti vienojas par drošu informācijas apmaiņu. Iepriekšējā briesmīgā dienas vārdu piemērā tiek izmantota visizplatītākā OAuth 2.0 plūsma, kas pazīstama kā “autorizācijas koda” plūsma. ["autorizācijas koda" plūsma].

Pirms iedziļināties OAuth darbības detaļās, parunāsim par dažu terminu nozīmi.

• Resursa īpašnieks:

  
  
  Tas esi tu! Jums pieder jūsu akreditācijas dati, jūsu dati un jūs kontrolējat visas darbības, kas var tikt veiktas jūsu kontos.

• Klients:

  
  
  Lietojumprogramma (piemēram, pakalpojums The Terrible Pun of the Day), kas vēlas piekļūt vai veikt noteiktas darbības Resursa īpašnieks'а.

• Autorizācijas serveris:

  
  
  Lietotne, kas zina Resursa īpašnieks'a un kurā u Resursa īpašnieksJums jau ir konts.

• resursu serveris:

  
  
  Lietojumprogrammu saskarne (API) vai pakalpojums, kas Klients vēlas izmantot vārdā Resursa īpašnieks'а.

• Novirzīt URI:

  
  
  Saite, kas Autorizācijas serveris novirzīs Resursa īpašnieks'un pēc atļaujas piešķiršanas Klients'at. To dažreiz dēvē par "atzvanīšanas URL".

• Atbildes veids:

  
  
  Paredzamās informācijas veids Klients. Visbiežāk Atbildes veids"Ohm ir kods, tas ir Klients cer saņemt autorizācijas kods.

• Joma:

  
  
  Šis ir detalizēts nepieciešamo atļauju apraksts Klients'y, piemēram, piekļūt datiem vai veikt noteiktas darbības.

• Piekrišana:

  
  
  Autorizācijas serveris aizņem Tēmekļipieprasīts Klients'om, un jautā Resursa īpašnieks'a, vai viņš ir gatavs nodrošināt Klientsir atbilstošas ​​atļaujas.

• klienta ID:

  
  
  Šo ID izmanto, lai identificētu Klients'a ieslēgts Autorizācijas serveris'e.

• Klienta noslēpums:

  
  
  Šī ir tikai zināma parole Klients'tu un Autorizācijas serveris'at. Tas ļauj viņiem privāti koplietot informāciju.

• autorizācijas kods:

  
  
  Pagaidu kods ar īsu derīguma termiņu, kas Klients nodrošina Autorizācijas serveris'y apmaiņā pret Access Token.

• Access Token:

  
  
  Atslēga, ar kuru klients sazināsies resursu serveris'om. Sava veida nozīmīte vai atslēgas karte, kas nodrošina Klients“ir atļauja pieprasīt datus vai veikt darbības ar resursu serveris'e jūsu vārdā.

Piezīme: Dažkārt autorizācijas serveris un resursu serveris ir viens un tas pats serveris. Tomēr dažos gadījumos tie var būt dažādi serveri, pat ja tie nepieder vienai organizācijai. Piemēram, autorizācijas serveris var būt trešās puses pakalpojums, kuram uzticas resursu serveris.

Tagad, kad esam apskatījuši OAuth 2.0 pamatjēdzienus, atgriezīsimies pie mūsu piemēra un tuvāk apskatīsim, kas notiek OAuth plūsmā.

1. Tu, Resursa īpašnieks, jūs vēlaties sniegt pakalpojumu Briesmīgais dienas vārdu spēles (Klientsy) piekļuve jūsu kontaktpersonām, lai viņi varētu nosūtīt ielūgumus visiem jūsu draugiem.
2. Klients novirza pārlūkprogrammu uz lapu Autorizācijas serveris'a un iekļaut vaicājumā klienta ID, Novirzīt URI, Atbildes veids un viens vai vairāki Tēmekļi (atļaujas) tam ir vajadzīgas.
3. Autorizācijas serveris verificē jūs, ja nepieciešams, pieprasot lietotājvārdu un paroli.
4. Autorizācijas serveris parāda veidlapu Piekrišana (apstiprinājumi) ar visu sarakstu Tēmekļipieprasīts Klients'om. Jūs piekrītat vai atsakāties.
5. Autorizācijas serveris novirza jūs uz vietni Klients'a, izmantojot Novirzīt URI ar autorizācijas kods (autorizācijas kods).
6. Klients sazinās tieši ar Autorizācijas serveris'ohm (apejot pārlūkprogrammu Resursa īpašnieks'a) un droši nosūta klienta ID, Klienta noslēpums и autorizācijas kods.
7. Autorizācijas serveris pārbauda datus un atbild ar Access Token'om (piekļuves marķieris).
8. Tagad Klients var izmantot Access Token lai nosūtītu pieprasījumu uz resursu serveris lai iegūtu kontaktu sarakstu.

Klienta ID un noslēpums

Ilgi pirms jūs atļāvāt Dienas šausmīgo vārdu piekļuvi saviem kontaktiem, Klients un Autorizācijas serveris bija izveidojuši darba attiecības. Autorizācijas serveris ģenerēja klienta ID un klienta noslēpumu (dažreiz tos sauc App ID и Lietotnes noslēpums) un nosūtīja tos Klientam turpmākai mijiedarbībai ar OAuth.

"- Sveiki! Es vēlētos ar jums strādāt! - Protams, nav problēma! Šeit ir jūsu klienta ID un noslēpums!

Nosaukums norāda, ka klienta noslēpums ir jāsaglabā slepenībā, lai to zinātu tikai klients un autorizācijas serveris. Galu galā tieši ar viņa palīdzību Autorizācijas serveris apstiprina Klienta patiesību.

Bet tas vēl nav viss... Lūdzu, apsveicam OpenID Connect!

OAuth 2.0 ir paredzēts tikai autorizācija - nodrošināt piekļuvi datiem un funkcijām no vienas lietojumprogrammas uz otru. OpenID Connect (OIDC) ir plāns slānis virs OAuth 2.0, kas pievieno tā lietotāja pieteikuminformāciju un profila informāciju, kurš ir pierakstījies kontā. Pieteikšanās sesijas organizēšana bieži tiek saukta par autentifikācija [autentifikācija], un informācija par lietotāju, kas pieteicies sistēmā (t.i., par Resursa īpašniekse), — personas dati [identitāte]. Ja autorizācijas serveris atbalsta OIDC, to dažreiz dēvē par personas datu sniedzējs [identitātes nodrošinātājs]jo tas nodrošina Klients'ir informācija par Resursa īpašnieks'e.

OpenID Connect ļauj ieviest scenārijus, kuros vienu pieteikšanos var izmantot vairākās lietojumprogrammās — šī pieeja ir pazīstama arī kā vienreizēja pierakstīšanās (SSO). Piemēram, lietojumprogramma var atbalstīt SSO integrāciju ar sociālajiem tīkliem, piemēram, Facebook vai Twitter, ļaujot lietotājiem izmantot kontu, kas viņiem jau ir un kuru viņi vēlas izmantot.

Plūsma (plūsma) OpenID Connect izskatās tāpat kā OAuth gadījumā. Vienīgā atšķirība ir tā, ka primārajā pieprasījumā tiek izmantots konkrētais tvērums openid, - A Klients galu galā kļūst patīk Access TokenUn ID marķieris.

Tāpat kā OAuth plūsmā, Access Token OpenID Connect, šī ir vērtība, kas nav skaidra Klients'at. No skatu punkta Klients“A Access Token apzīmē rakstzīmju virkni, kas tiek nosūtīta kopā ar katru pieprasījumu resursu serveris'y, kas nosaka, vai marķieris ir derīgs. ID marķieris pārstāv pavisam citu lietu.

ID Token ir JWT

ID marķieris ir īpaši formatēta rakstzīmju virkne, kas pazīstama kā JSON Web Token vai JWT (dažreiz JWT marķieri tiek izrunāti kā "jots"). No malas novērotājiem JWT var šķist nesaprotama muļķība, taču Klients no JWT var iegūt dažādu informāciju, piemēram, ID, lietotājvārdu, pieteikšanās laiku, derīguma termiņu ID marķieris“a, mēģinājumi traucēt JWT. Dati iekšā ID marķieris'a tiek saukti lietojumprogrammas [pretenzijas].

OIDC gadījumā ir arī standarta veids, kā Klients var pieprasīt papildu informāciju par personu [identitāte] no Autorizācijas serveris'a, piemēram, e-pasta adrese, izmantojot Access Token.

Uzziniet vairāk par OAuth un OIDC

Tātad, mēs īsi pārskatījām, kā darbojas OAuth un OIDC. Vai esat gatavs rakt dziļāk? Tālāk ir sniegti papildu resursi, kas palīdzēs uzzināt vairāk par OAuth 2.0 un OpenID Connect:

• Kas pie velna ir OAuth?
• Nevienam nerūp OAuth vai OpenID Connect
• Ieviesiet OAuth 2.0 autorizācijas kodu ar PKCE plūsmu
• Kas ir OAuth 2.0 granta veids?
• OAuth 2.0 no komandrindas
• Izveidojiet drošu Node.js lietotni, izmantojot SQL serveri

Kā vienmēr, nekautrējieties komentēt. Lai būtu informēts par mūsu jaunākajām ziņām, abonējiet Twitter и YouTube Okta izstrādātājiem!

PS no tulka

Lasi arī mūsu emuārā:

• «Kubernetes drošības ABC: autentifikācija, autorizācija, audits";
• «Lietotāji un autorizācijas RBAC vietnē Kubernetes";
• «33+ Kubernetes drošības rīki";
• «Docker konteineru drošība'.

Avots: www.habr.com