🥇 OAuth आणि OpenID Connect साठी एक सचित्र मार्गदर्शक

नोंद. अनुवाद: Okta चा हा उत्तम लेख OAuth आणि OIDC (OpenID Connect) कसे कार्य करतात हे सोप्या आणि स्पष्ट पद्धतीने स्पष्ट करतो. हे ज्ञान विकसक, सिस्टम प्रशासक आणि लोकप्रिय वेब ऍप्लिकेशन्सच्या "नियमित वापरकर्त्यांना" उपयुक्त ठरेल, जे बहुधा इतर सेवांसह गोपनीय डेटाची देवाणघेवाण देखील करतात.

इंटरनेटच्या अश्मयुगात, सेवांमध्ये माहितीची देवाणघेवाण करणे सोपे होते. तुम्ही तुमचे लॉगिन आणि पासवर्ड एका सेवेतून दुसर्‍या सेवेला दिला, जेणेकरून त्याने तुमचे खाते प्रविष्ट केले आणि त्याला आवश्यक असलेली कोणतीही माहिती प्राप्त होईल.

"मला तुमचे बँक खाते द्या." “आम्ही वचन देतो की पासवर्ड आणि पैशाने सर्व काही ठीक होईल. ते प्रामाणिक आहे, प्रामाणिक आहे!" *ही हि*

भयपट! वापरकर्त्याने वापरकर्तानाव आणि संकेतशब्द सामायिक करणे कोणालाही आवश्यक नसावे, क्रेडेन्शियल, दुसऱ्या सेवेसह. या सेवेमागील संस्था डेटा सुरक्षित ठेवेल आणि आवश्यकतेपेक्षा जास्त वैयक्तिक माहिती गोळा करणार नाही याची शाश्वती नाही. हे वेडे वाटेल, परंतु काही अॅप्स अजूनही ही पद्धत वापरतात!

आज एकच मानक आहे जे एका सेवेला दुसऱ्याचा डेटा सुरक्षितपणे वापरण्याची परवानगी देते. दुर्दैवाने, अशी मानके खूप शब्दजाल आणि संज्ञा वापरतात, ज्यामुळे त्यांची समज गुंतागुंतीची होते. या सामग्रीचा उद्देश सोप्या उदाहरणांचा वापर करून ते कसे कार्य करतात हे स्पष्ट करणे हा आहे (माझी रेखाचित्रे मुलांच्या डबिंगसारखी आहेत असे तुम्हाला वाटते का? अरेरे!).

तसे, हे मार्गदर्शक व्हिडिओ स्वरूपात देखील उपलब्ध आहे:

स्त्रिया आणि सज्जनांनो, स्वागत आहे: OAuth 2.0

OAuth 2.0 एक सुरक्षा मानक आहे जे एका अनुप्रयोगास दुसर्‍या अनुप्रयोगातील माहितीमध्ये प्रवेश करण्याची परवानगी मिळवू देते. परमिट जारी करण्याच्या चरणांचा क्रम [परवानगी] (किंवा संमती [संमती]) अनेकदा कॉल करा अधिकृतता [अधिकृतता] किंवा अगदी नियुक्त अधिकृतता [प्रस्तुत अधिकृतता]. या मानकासह, तुम्ही ॲप्लिकेशनला तुमचा पासवर्ड न देता डेटा वाचण्याची किंवा तुमच्या वतीने दुसर्‍या अॅप्लिकेशनची फंक्शन्स वापरण्याची अनुमती देता. वर्ग!

उदाहरण म्हणून, समजा तुम्हाला "अनलकी पन ऑफ द डे" नावाची साइट सापडली आहे. [दिवसातील भयानक श्लेष] आणि फोनवर मजकूर संदेशांच्या रूपात दररोज श्लेष प्राप्त करण्यासाठी त्यावर नोंदणी करण्याचा निर्णय घेतला. तुम्हाला साइट खरोखर आवडली आणि तुम्ही ती तुमच्या सर्व मित्रांसह शेअर करण्याचे ठरवले. शेवटी, प्रत्येकाला भितीदायक श्लेष आवडतात, बरोबर?

"दिवसाचा दुर्दैवी श्लेष: त्याच्या शरीराचा डावा अर्धा भाग गमावलेल्या माणसाबद्दल ऐकले आहे? आता तो नेहमी बरोबर असतो!” (अंदाजे भाषांतर, कारण मूळचा स्वतःचा श्लेष आहे - अंदाजे अनुवाद.)

हे स्पष्ट आहे की संपर्क सूचीमधून प्रत्येक व्यक्तीला लिहिणे हा पर्याय नाही. आणि, जर तुम्ही माझ्यासारखे थोडेसेही असाल, तर अनावश्यक काम टाळण्यासाठी तुम्ही कोणत्याही टोकाला जाल. सुदैवाने, टेरिबल पन ऑफ द डे तुमच्या सर्व मित्रांना स्वतःहून आमंत्रित करू शकतो! हे करण्यासाठी, आपल्याला फक्त आपल्या संपर्कांच्या ईमेलमध्ये प्रवेश उघडण्याची आवश्यकता आहे - साइट स्वतःच त्यांना आमंत्रणे पाठवेल (OAuth नियम)!

“प्रत्येकाला श्लोक आवडतात! - आधीपासून लॉग इन केले? “तुम्ही टेरिबल पन ऑफ द डे वेबसाइटला तुमच्या संपर्क सूचीमध्ये प्रवेश करू देऊ इच्छिता? - धन्यवाद! आतापासून, आम्ही तुमच्या ओळखीच्या प्रत्येकाला, वेळ संपेपर्यंत दररोज स्मरणपत्रे पाठवू! तू सर्वात चांगला मित्र आहेस!"

तुमची ईमेल सेवा निवडा.
आवश्यक असल्यास, मेल साइटवर जा आणि आपल्या खात्यात साइन इन करा.
तुमच्या संपर्कांमध्ये प्रवेश करण्यासाठी टेरिबल पन ऑफ द डे परवानगी द्या.
टेरिबल पन ऑफ द डे साइटवर परत या.

तुम्ही तुमचा विचार बदलल्यास, OAuth वापरणारे अॅप्लिकेशन अ‍ॅक्सेस रद्द करण्याचा मार्ग देखील देतात. एकदा तुम्ही ठरवले की तुम्हाला यापुढे टेरिबल पन ऑफ द डे सह संपर्क सामायिक करायचे नाही, तुम्ही मेल साइटवर जाऊ शकता आणि अधिकृत अनुप्रयोगांच्या सूचीमधून श्लेष साइट काढून टाकू शकता.

OAuth प्रवाह

सामान्यतः ज्याला म्हणतात त्यामधून आपण गेलो आहोत प्रवाह [प्रवाह] OAuth. आमच्या उदाहरणात, या प्रवाहात दृश्यमान पायऱ्या, तसेच अनेक अदृश्य पायऱ्या असतात, ज्यामध्ये दोन सेवा माहितीच्या सुरक्षित देवाणघेवाणीवर सहमत असतात. पूर्वीचे टेरिबल पन ऑफ द डे उदाहरण सर्वात सामान्य OAuth 2.0 प्रवाह वापरते, ज्याला "अधिकृतता कोड" प्रवाह म्हणून ओळखले जाते. ["अधिकृतता कोड" प्रवाह].

OAuth कसे कार्य करते याच्या तपशीलांमध्ये जाण्यापूर्वी, काही संज्ञांच्या अर्थाबद्दल बोलूया:

संसाधन मालक:

तो तूच आहेस! तुमच्याकडे तुमची क्रेडेन्शियल्स, तुमचा डेटा आहे आणि तुमच्या खात्यांवर केल्या जाणार्‍या सर्व अ‍ॅक्टिव्हिटी नियंत्रित करा.
क्लायंट:

एक ऍप्लिकेशन (उदाहरणार्थ, टेरिबल पन ऑफ द डे सर्व्हिस) जो प्रवेश करू इच्छितो किंवा च्या वतीने काही क्रिया करू इच्छितो संसाधन मालक'अ.
अधिकृतता सर्व्हर:

ज्या अॅपला माहीत आहे संसाधन मालक'a आणि ज्यामध्ये u संसाधन मालकएक खाते आधीच आहे.
संसाधन सर्व्हर:

ऍप्लिकेशन प्रोग्रामिंग इंटरफेस (API) किंवा सेवा क्लायंट च्या वतीने वापरू इच्छित आहे संसाधन मालक'अ.
URI पुनर्निर्देशित करा:

ती लिंक अधिकृतता सर्व्हर पुनर्निर्देशित करेल संसाधन मालकआणि परवानगी दिल्यानंतर क्लायंटयेथे याला कधीकधी "कॉलबॅक URL" म्हणून संबोधले जाते.
प्रतिसाद प्रकार:

ज्या प्रकारची माहिती मिळणे अपेक्षित आहे क्लायंट. सर्वात सामान्य प्रतिसाद प्रकार'ओम हा कोड आहे, म्हणजे क्लायंट प्राप्त होण्याची अपेक्षा आहे अधिकृतता कोड.
व्याप्ती:

आवश्यक असलेल्या परवानग्यांचे हे तपशीलवार वर्णन आहे क्लायंट'y, जसे की डेटा ऍक्सेस करणे किंवा काही क्रिया करणे.
संमती:

अधिकृतता सर्व्हर घेते स्कोपविनंती केली क्लायंट'ओम, आणि विचारतो संसाधन मालक'अ, तो प्रदान करण्यास तयार आहे क्लायंट'योग्य परवानग्या आहेत.
क्लायंट आयडी:

हा आयडी ओळखण्यासाठी वापरला जातो क्लायंटवर अधिकृतता सर्व्हर'इ.
क्लायंट सिक्रेट:

हा पासवर्ड फक्त माहीत आहे क्लायंट'यू आणि अधिकृतता सर्व्हरयेथे हे त्यांना खाजगीरित्या माहिती सामायिक करण्यास अनुमती देते.
अधिकृतता कोड:

वैधतेच्या अल्प कालावधीसह तात्पुरता कोड, जो क्लायंट पुरवते अधिकृतता सर्व्हरच्या बदल्यात y प्रवेश टोकन.
प्रवेश टोकन:

क्लायंट ज्याच्याशी संवाद साधण्यासाठी वापरेल ती की संसाधन सर्व्हर'ओम. एक प्रकारचे बॅज किंवा की कार्ड जे प्रदान करते क्लायंटडेटाची विनंती करण्याची किंवा त्यावर क्रिया करण्याची परवानगी आहे संसाधन सर्व्हरतुमच्या वतीने.

शेरा: कधीकधी ऑथोरायझेशन सर्व्हर आणि रिसोर्स सर्व्हर एकच सर्व्हर असतात. तथापि, काही प्रकरणांमध्ये, हे भिन्न सर्व्हर असू शकतात, जरी ते एकाच संस्थेशी संबंधित नसले तरीही. उदाहरणार्थ, ऑथोरायझेशन सर्व्हर ही रिसोर्स सर्व्हरद्वारे विश्वासार्ह असलेली तृतीय पक्ष सेवा असू शकते.

आता आम्ही OAuth 2.0 च्या मूळ संकल्पना कव्हर केल्या आहेत, चला आमच्या उदाहरणाकडे परत जाऊ आणि OAuth प्रवाहात काय होते ते जवळून पाहू.

तू, संसाधन मालक, तुम्हाला टेरिबल पन ऑफ द डे सेवा प्रदान करायची आहे (क्लायंटy) तुमच्या संपर्कांमध्ये प्रवेश करा जेणेकरून ते तुमच्या सर्व मित्रांना आमंत्रणे पाठवू शकतील.
क्लायंट ब्राउझरला पृष्ठावर पुनर्निर्देशित करते अधिकृतता सर्व्हर'a आणि क्वेरीमध्ये समाविष्ट करा क्लायंट आयडी, URI पुनर्निर्देशित करा, प्रतिसाद प्रकार आणि एक किंवा अधिक स्कोप (परवानग्या) आवश्यक आहेत.
अधिकृतता सर्व्हर आवश्यक असल्यास वापरकर्तानाव आणि पासवर्ड विचारून, तुमची पडताळणी करते.
अधिकृतता सर्व्हर एक फॉर्म दाखवतो संमती (पुष्टीकरण) सर्वांच्या यादीसह स्कोपविनंती केली क्लायंट'ओम. तुम्ही सहमत आहात किंवा नकार द्या.
अधिकृतता सर्व्हर तुम्हाला साइटवर पुनर्निर्देशित करते क्लायंट'a, वापरून URI पुनर्निर्देशित करा एकत्र अधिकृतता कोड (अधिकृतीकरण कोड).
क्लायंट शी थेट संवाद साधतो अधिकृतता सर्व्हर'ओम (ब्राउझरला बायपास करून संसाधन मालक'a) आणि सुरक्षितपणे पाठवते क्लायंट आयडी, क्लायंट सिक्रेट и अधिकृतता कोड.
अधिकृतता सर्व्हर डेटा तपासतो आणि प्रतिसाद देतो प्रवेश टोकनओम (प्रवेश टोकन).
आता क्लायंट वापरू शकता प्रवेश टोकन ला विनंती पाठवण्यासाठी संसाधन सर्व्हर संपर्कांची यादी मिळवण्यासाठी.

क्लायंट आयडी आणि गुप्त

तुम्ही टेरिबल पन ऑफ द डे तुमच्या संपर्कांमध्ये प्रवेश करण्याची परवानगी देण्याआधी, क्लायंट आणि ऑथोरायझेशन सर्व्हरने कार्यरत संबंध प्रस्थापित केले होते. ऑथोरायझेशन सर्व्हरने क्लायंट आयडी आणि क्लायंट सीक्रेट व्युत्पन्न केले (कधीकधी म्हणतात अ‍ॅप आयडी и अॅप गुप्त) आणि त्यांना OAuth मध्ये पुढील परस्परसंवादासाठी क्लायंटकडे पाठवले.

"- नमस्कार! मला तुमच्यासोबत काम करायला आवडेल! - नक्कीच, समस्या नाही! तुमचा क्लायंट आयडी आणि गुपित हे आहेत!”

नाव सूचित करते की क्लायंटचे रहस्य गुप्त ठेवले पाहिजे जेणेकरून केवळ क्लायंट आणि अधिकृतता सर्व्हरला ते कळेल. तथापि, त्याच्या मदतीने अधिकृतता सर्व्हर क्लायंटच्या सत्याची पुष्टी करतो.

पण एवढेच नाही... कृपया OpenID Connect चे स्वागत करा!

OAuth 2.0 फक्त यासाठी डिझाइन केले आहे अधिकृतता - एका ऍप्लिकेशनमधून दुसर्‍या ऍप्लिकेशनमध्ये डेटा आणि फंक्शन्समध्ये प्रवेश प्रदान करण्यासाठी. ओपनआयडी कनेक्ट (OIDC) OAuth 2.0 च्या वर एक पातळ थर आहे जो खात्यात साइन इन केलेल्या वापरकर्त्याचे लॉगिन आणि प्रोफाइल तपशील जोडतो. लॉगिन सत्राची संस्था सहसा म्हणून ओळखली जाते प्रमाणीकरण [प्रमाणीकरण], आणि सिस्टममध्ये लॉग इन केलेल्या वापरकर्त्याची माहिती (म्हणजे सुमारे संसाधन मालक'ई), - वैयक्तिक माहिती [ओळख]. जर ऑथोरायझेशन सर्व्हर OIDC ला सपोर्ट करत असेल, तर त्याला कधी कधी असे म्हटले जाते वैयक्तिक डेटा प्रदाता [ओळख प्रदाता]कारण ते प्रदान करते क्लायंटबद्दल माहिती आहे संसाधन मालक'इ.

OpenID Connect तुम्हाला अशा परिस्थितीची अंमलबजावणी करण्यास अनुमती देते जिथे एकल लॉगिन एकाधिक अनुप्रयोगांमध्ये वापरले जाऊ शकते - हा दृष्टिकोन म्हणून देखील ओळखला जातो एकल साइन-ऑन (एसएसओ). उदाहरणार्थ, एखादा अनुप्रयोग Facebook किंवा Twitter सारख्या सामाजिक नेटवर्कसह SSO एकत्रीकरणास समर्थन देऊ शकतो, वापरकर्त्यांना त्यांच्याकडे आधीपासूनच असलेले खाते वापरण्याची परवानगी देतो आणि वापरण्यास प्राधान्य देतो.

प्रवाह (प्रवाह) OpenID Connect OAuth च्या बाबतीत सारखाच दिसतो. फरक एवढाच आहे की प्राथमिक विनंतीमध्ये विशिष्ट व्याप्ती वापरली जाते openid, - ए क्लायंट शेवटी सारखे मिळते प्रवेश टोकन, आणि आयडी टोकन.

OAuth प्रवाहाप्रमाणेच, प्रवेश टोकन OpenID Connect मध्ये, हे काही मूल्य आहे जे स्पष्ट नाही क्लायंटयेथे दृष्टिकोनातून क्लायंट'अ प्रवेश टोकन प्रत्येक विनंतीसह पास केलेल्या वर्णांच्या स्ट्रिंगचे प्रतिनिधित्व करते संसाधन सर्व्हर'y, जे टोकन वैध आहे की नाही हे निर्धारित करते. आयडी टोकन पूर्णपणे वेगळ्या गोष्टीचे प्रतिनिधित्व करते.

आयडी टोकन एक JWT आहे

आयडी टोकन JSON वेब टोकन किंवा JWT म्हणून ओळखल्या जाणार्‍या वर्णांची एक खास स्वरूपित स्ट्रिंग आहे (कधीकधी JWT टोकन्स "jots" सारखे उच्चारले जातात). बाहेरील निरीक्षकांना, JWT कदाचित समजण्याजोगे मूर्खपणासारखे वाटेल, परंतु क्लायंट JWT मधून विविध माहिती काढू शकते, जसे की आयडी, वापरकर्तानाव, लॉगिन वेळ, कालबाह्यता तारीख आयडी टोकन'a, JWT मध्ये हस्तक्षेप करण्याच्या प्रयत्नांची उपस्थिती. आत डेटा आयडी टोकन'a म्हणतात अनुप्रयोग [दावे].

OIDC च्या बाबतीत, एक मानक मार्ग देखील आहे ज्याद्वारे क्लायंट व्यक्तीबद्दल अतिरिक्त माहितीची विनंती करू शकते [ओळख] पासून अधिकृतता सर्व्हर'a, उदाहरणार्थ, वापरून ईमेल पत्ता प्रवेश टोकन.

OAuth आणि OIDC बद्दल अधिक जाणून घ्या

म्हणून, आम्ही OAuth आणि OIDC कसे कार्य करतात याचे थोडक्यात पुनरावलोकन केले. सखोल खोदण्यास तयार आहात? OAuth 2.0 आणि OpenID Connect बद्दल अधिक जाणून घेण्यासाठी तुम्हाला मदत करण्यासाठी येथे अतिरिक्त संसाधने आहेत:

नेहमीप्रमाणे, मोकळ्या मनाने टिप्पणी द्या. आमच्या नवीनतम बातम्यांसह अद्ययावत राहण्यासाठी, याची सदस्यता घ्या Twitter и YouTube वर विकसकांसाठी ओक्टा!

अनुवादकाकडून पुनश्च

आमच्या ब्लॉगवर देखील वाचा:

स्त्रोत: www.habr.com

OAuth आणि OpenID Connect साठी सचित्र मार्गदर्शक