OpenID ချိတ်ဆက်မှု- အတွင်းပိုင်းအပလီကေးရှင်းများကို စိတ်ကြိုက်မှ စံနှုန်းအထိ ခွင့်ပြုချက်

လွန်ခဲ့သောလအနည်းငယ်က၊ ကျွန်ုပ်သည် ကျွန်ုပ်တို့၏အတွင်းပိုင်းအပလီကေးရှင်းရာပေါင်းများစွာအတွက် ဝင်ရောက်ခွင့်ကိုစီမံခန့်ခွဲရန် OpenID Connect ဆာဗာကို အကောင်အထည်ဖော်နေပါသည်။ ကျွန်ုပ်တို့၏ကိုယ်ပိုင်တိုးတက်မှုများမှ၊ သေးငယ်သောအတိုင်းအတာဖြင့် အဆင်ပြေသော၊ ကျွန်ုပ်တို့သည် ယေဘူယျလက်ခံထားသောစံနှုန်းတစ်ခုသို့ ပြောင်းသွားပါသည်။ ဗဟိုဝန်ဆောင်မှုမှတစ်ဆင့် ဝင်ရောက်အသုံးပြုခြင်းသည် ငွီးငေါ့ငေါ့ငေါ့နေသော လုပ်ငန်းဆောင်တာများကို များစွာရိုးရှင်းစေပြီး ခွင့်ပြုချက်များအား အကောင်အထည်ဖော်ရာတွင် ကုန်ကျစရိတ်ကို လျှော့ချပေးကာ အဆင်သင့်လုပ်ထားသည့် ဖြေရှင်းချက်များစွာကို ရှာဖွေနိုင်ကာ အသစ်များကို တီထွင်သည့်အခါတွင် သင့်ဦးနှောက်များကို လှောင်ပိတ်မနေစေပါ။ ဤဆောင်းပါးတွင်၊ ကျွန်ုပ်သည် ဤအကူးအပြောင်းနှင့် ဖြည့်စွက်ရန် စီမံထားသော အဖုအထစ်များအကြောင်း ဆွေးနွေးပါမည်။

ဟိုးအရင်ကတည်းက… အားလုံးဘယ်လိုစခဲ့လဲ။

လွန်ခဲ့သည့်နှစ်အနည်းငယ်က၊ manual control အတွက် internal applications များလွန်းသောအခါ၊ ကုမ္ပဏီအတွင်း ဝင်ရောက်မှုကို ထိန်းချုပ်ရန် အက်ပလီကေးရှင်းတစ်ခု ရေးခဲ့သည်။ ၎င်းသည် ဝန်ထမ်းများ၏ အချက်အလက်များပါရှိသော ဒေတာဘေ့စ်တစ်ခုသို့ ချိတ်ဆက်ထားသည့် ရိုးရှင်းသော Rails အက်ပလီကေးရှင်းတစ်ခုဖြစ်ပြီး အမျိုးမျိုးသော လုပ်ဆောင်နိုင်စွမ်းများကို ဝင်ရောက်ကြည့်ရှုနိုင်ရန် စီစဉ်ပေးထားသည်။ တစ်ချိန်တည်းမှာပင်၊ client နှင့် authorization server ဘက်မှ တိုကင်များကို အတည်ပြုခြင်းအပေါ် အခြေခံထားသည့် ပထမ SSO ကို မြှင့်တင်ခဲ့ပြီး၊ တိုကင်ကို ဘောင်များစွာဖြင့် ကုဒ်ဝှက်ထားသော ပုံစံဖြင့် ပို့ပြီး ခွင့်ပြုချက်ဆာဗာတွင် အတည်ပြုပါသည်။ အတွင်းအပလီကေးရှင်းတစ်ခုစီသည် ယုတ္တိဗေဒအလွှာတစ်ခုစီကို ဖော်ပြရမည်ဖြစ်ပြီး၊ ဝန်ထမ်းဒေတာဘေ့စ်များသည် ခွင့်ပြုချက်ဆာဗာနှင့် လုံးဝထပ်တူကျသောကြောင့် ၎င်းသည် အဆင်ပြေဆုံးရွေးချယ်မှုမဟုတ်ပေ။

အချိန်အတော်ကြာပြီးနောက်၊ ဗဟိုချုပ်ကိုင်မှုပြုခြင်း၏ လုပ်ငန်းတာဝန်ကို ရိုးရှင်းစေရန် ဆုံးဖြတ်ခဲ့သည်။ SSO ကို balancer သို့ လွှဲပြောင်းပေးခဲ့ပါသည်။ OpenResty ၏အကူအညီဖြင့်၊ တိုကင်များကိုစစ်ဆေးသည့် Lua တွင် ပုံစံပလိတ်တစ်ခုထည့်သွင်းခဲ့သည်၊ မည်သည့်လျှောက်လွှာကိုတောင်းဆိုမည်ကိုသိရှိပြီး ထိုနေရာတွင်ဝင်ရောက်ခွင့်ရှိမရှိစစ်ဆေးနိုင်သည်။ ဤချဉ်းကပ်မှုသည် အတွင်းပိုင်းအပလီကေးရှင်းများသို့ဝင်ရောက်ခွင့်ကိုထိန်းချုပ်ခြင်း၏လုပ်ငန်းတာဝန်ကိုအလွန်ရိုးရှင်းစေသည် - အပလီကေးရှင်းတစ်ခုစီ၏ကုဒ်တွင်၊ အပိုယုတ္တိကိုဖော်ပြရန်မလိုအပ်တော့ပါ။ ရလဒ်အနေဖြင့် ကျွန်ုပ်တို့သည် အသွားအလာကို ပြင်ပတွင် ပိတ်ခဲ့ပြီး အပလီကေးရှင်းကိုယ်တိုင်က ခွင့်ပြုချက်နှင့် ပတ်သက်၍ ဘာမှ မသိခဲ့ပါ။

သို့သော်လည်း ပြဿနာတစ်ခုက မဖြေရှင်းနိုင်သေးပါ။ ဝန်ထမ်းတွေအကြောင်း အချက်အလက်တွေ လိုအပ်နေတဲ့ လျှောက်လွှာတွေကော။ ခွင့်ပြုချက်ဝန်ဆောင်မှုအတွက် API တစ်ခုကို ရေးနိုင်သော်လည်း၊ ထို့နောက် ယင်းအပလီကေးရှင်းတစ်ခုစီအတွက် အပိုယုတ္တိကို ထည့်သွင်းရမည်ဖြစ်ပါသည်။ ထို့အပြင်၊ ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏အတွင်းပိုင်းခွင့်ပြုချက်ဆာဗာတွင် နောက်ပိုင်းတွင် OpenSource သို့ ဘာသာပြန်ဆိုမည့် ကျွန်ုပ်တို့ကိုယ်တိုင်ရေးထားသော အပလီကေးရှင်းတစ်ခုအပေါ် မှီခိုမှုကို ဖယ်ရှားလိုပါသည်။ အဲဒါကို တခြားအချိန်တွေမှာ ပြောပါမယ်။ ပြဿနာနှစ်ခုလုံးအတွက် အဖြေမှာ OAuth ဖြစ်သည်။

ဘုံစံနှုန်းများသို့

OAuth သည် နားလည်နိုင်သော၊ ယေဘုယျအားဖြင့် လက်ခံထားသော ခွင့်ပြုချက်စံနှုန်းတစ်ခုဖြစ်သော်လည်း ၎င်း၏လုပ်ဆောင်နိုင်စွမ်းတစ်ခုတည်းနှင့် မလုံလောက်သောကြောင့်၊ ၎င်းတို့သည် OpenID Connect (ODC) ကို ချက်ချင်းစတင်စဉ်းစားလာကြသည်။ OIDC ကိုယ်တိုင်က OAuth 2.0 ပရိုတိုကော (အဖွင့်ခွင့်ပြုချက် ပရိုတိုကော) တွင် အပိုပရိုဂရမ်တစ်ခုသို့ စီးဆင်းသွားသည့် ပွင့်လင်းအထောက်အထားစိစစ်ခြင်းစံ၏ တတိယမြောက် အကောင်အထည်ဖော်မှုဖြစ်သည်။ ဤဖြေရှင်းချက်သည် အသုံးပြုသူနှင့်ပတ်သက်သည့် ဒေတာမရှိခြင်းပြဿနာကို ပိတ်စေပြီး ခွင့်ပြုချက်ပေးသူကို ပြောင်းလဲစေပါသည်။

သို့သော်၊ ကျွန်ုပ်တို့သည် သီးခြားပံ့ပိုးပေးသူကို မရွေးချယ်ဘဲ ကျွန်ုပ်တို့၏ လက်ရှိခွင့်ပြုချက်ဆာဗာအတွက် ODDC နှင့် ပေါင်းစည်းရန် ဆုံးဖြတ်ခဲ့သည်။ ဤဆုံးဖြတ်ချက်ကို ထောက်ခံသည့်အချက်မှာ ODC သည် သုံးစွဲသူခွင့်ပြုချက်၏ စည်းကမ်းချက်များ၌ အလွန်လိုက်လျောညီထွေရှိသောကြောင့်ဖြစ်သည်။ ထို့ကြောင့်၊ သင်၏လက်ရှိခွင့်ပြုချက်ဆာဗာတွင် ODDC ပံ့ပိုးမှုကို အကောင်အထည်ဖော်ရန် ဖြစ်နိုင်သည်။

ကျွန်ုပ်တို့၏ကိုယ်ပိုင် ODC ဆာဗာကို အကောင်အထည်ဖော်သည့်နည်းလမ်း

1) Data များကို လိုချင်သောပုံစံသို့ ယူဆောင်သွားပါ။

ODC ကို ပေါင်းစည်းရန်၊ လက်ရှိအသုံးပြုသူဒေတာကို စံနှုန်းဖြင့် နားလည်နိုင်သော ပုံစံသို့ ယူဆောင်လာရန် လိုအပ်ပါသည်။ OIDC မှာ ဒါကို တောင်းဆိုချက်လို့ ခေါ်ပါတယ်။ အရေးဆိုမှုများသည် သုံးစွဲသူဒေတာဘေ့စ် (အမည်၊ အီးမေးလ်၊ ဖုန်း၊ စသည်) တွင် မရှိမဖြစ် နောက်ဆုံးအကွက်များဖြစ်သည်။ ရှိနေတယ်။ စံတံဆိပ်ခေါင်းများစာရင်းနှင့် ဤစာရင်းတွင်မပါဝင်သည့်အရာအားလုံးကို စိတ်ကြိုက်သတ်မှတ်သည်။ ထို့ကြောင့်၊ ရှိပြီးသား ODC ဝန်ဆောင်မှုပေးသူကို ရွေးချယ်လိုပါက ပထမဆုံးအာရုံစိုက်ရမည့်အချက်မှာ အမှတ်တံဆိပ်အသစ်များကို အဆင်ပြေစွာ စိတ်ကြိုက်ပြင်ဆင်နိုင်ခြေဖြစ်သည်။

အမှတ်အသားအုပ်စုကို အောက်ပါအစုခွဲ - နယ်ပယ်တွင် ပေါင်းစပ်ထားသည်။ ခွင့်ပြုချက်ရစဉ်အတွင်း၊ အချို့သောအမှတ်တံဆိပ်များမှ မလိုအပ်သော်လည်း၊ နယ်ပယ်အသီးသီးမှ အမှတ်တံဆိပ်များသို့ ဝင်ရောက်ခွင့်ကို တောင်းဆိုထားသည်။

၂) လိုအပ်သော ထောက်ပံ့ငွေများ ဆောင်ရွက်ပေးခြင်း။

ODC ပေါင်းစည်းမှု၏ နောက်အပိုင်းမှာ ထောက်ပံ့ကြေးဟု ခေါ်သော ခွင့်ပြုချက်အမျိုးအစားများကို ရွေးချယ်ခြင်းနှင့် အကောင်အထည်ဖော်ခြင်း ဖြစ်သည်။ ရွေးချယ်ထားသည့် အပလီကေးရှင်းနှင့် ခွင့်ပြုချက်ဆာဗာအကြား အပြန်အလှန်တုံ့ပြန်မှုအခြေအနေသည် ရွေးချယ်ထားသော ထောက်ပံ့မှုအပေါ် မူတည်မည်ဖြစ်သည်။ သင့်လျော်သော ထောက်ပံ့ကြေးကို ရွေးချယ်ရန်အတွက် စံနမူနာပြု အစီအစဉ်ကို အောက်ပါပုံတွင် ပြထားသည်။

ကျွန်ုပ်တို့၏ပထမဆုံးလျှောက်လွှာအတွက်၊ ကျွန်ုပ်တို့သည် အသုံးအများဆုံးထောက်ပံ့ကြေးဖြစ်သည့် Authorization Code ကိုအသုံးပြုခဲ့သည်။ ၎င်း၏ခြားနားချက်မှာ ၎င်းသည် အဆင့်သုံးဆင့်ဖြစ်သည်၊ ဆိုလိုသည်မှာ၊ နောက်ထပ်စမ်းသပ်မှုများ ပြုလုပ်နေပါသည်။ ပထမဦးစွာ၊ အသုံးပြုသူသည် ခွင့်ပြုချက်ခွင့်ပြုချက်ကို တောင်းခံပြီး တိုကင်တစ်ခုကို လက်ခံရရှိသည် - ခွင့်ပြုချက်ကုဒ်၊ ထို့နောက် ခရီးအတွက် လက်မှတ်ကဲ့သို့ပင်၊ ဤတိုကင်နှင့်အတူ၊ ဝင်ရောက်ခွင့် တိုကင်တစ်ခု တောင်းဆိုပါသည်။ ဤခွင့်ပြုချက် script ၏ အဓိက အပြန်အလှန်တုံ့ပြန်မှုအားလုံးသည် အပလီကေးရှင်းနှင့် ခွင့်ပြုချက်ဆာဗာကြားမှ ပြန်လည်လမ်းညွှန်မှုများအပေါ် အခြေခံသည်။ ဤထောက်ပံ့ကြေးအကြောင်း ပိုမိုဖတ်ရှုနိုင်ပါသည်။ ဒီမှာ.

OAuth သည် ခွင့်ပြုချက်ရယူပြီးနောက် ရရှိသော တိုကင်များကို ယာယီသာဖြစ်သင့်ပြီး ပျမ်းမျှအားဖြင့် ဖြစ်နိုင်လျှင် 10 မိနစ်တိုင်း ပြောင်းလဲသင့်သည်ဟူသော သဘောတရားကို OAuth က လိုက်နာသည်။ တရားဝင်ခွင့်ပြုချက်ကုဒ် ထောက်ပံ့ကြေးသည် 10 မိနစ်တိုင်း လမ်းကြောင်းလွှဲခြင်းများမှတဆင့် သုံးဆင့်အတည်ပြုခြင်းဖြစ်ပြီး၊ ပွင့်ပွင့်လင်းလင်းပြောရလျှင်၊ ထိုသို့သောခြေလှမ်းကိုလှည့်ရန်မှာ မျက်စိအတွက် အသာယာဆုံးအလုပ်မဟုတ်ပါ။ ဤပြဿနာကိုဖြေရှင်းရန်၊ ကျွန်ုပ်တို့နိုင်ငံ၌လည်း ကျွန်ုပ်တို့အသုံးပြုသည့် Refresh Token တစ်မျိုးရှိပါသည်။ အရာအားလုံးက ဒီမှာ ပိုလွယ်တယ်။ အခြားထောက်ပံ့ကြေးမှ စိစစ်နေစဉ်အတွင်း၊ ပင်မဝင်ရောက်ခွင့် တိုကင်အပြင်၊ နောက်ထပ်တစ်ခုကို ထုတ်ပေးသည် - Refresh Token သည် တစ်ကြိမ်သာအသုံးပြုနိုင်ပြီး ၎င်း၏သက်တမ်းသည် များသောအားဖြင့် ပိုရှည်သည်။ ဤ Refresh Token ဖြင့်၊ ပင်မဝင်ရောက်ခွင့်တိုကင်၏ TTL (Live to Live) ပြီးဆုံးသောအခါ၊ ဝင်ရောက်ခွင့်တိုကင်အသစ်တစ်ခုတောင်းဆိုမှုသည် အခြားထောက်ပံ့ကြေး၏အဆုံးမှတ်သို့ ရောက်လာမည်ဖြစ်သည်။ အသုံးပြုထားသော Refresh Token သည် သုညသို့ ချက်ချင်းပြန်လည်သတ်မှတ်သည်။ ဤစစ်ဆေးမှုသည် အဆင့်နှစ်ဆင့်ဖြစ်ပြီး သုံးစွဲသူကို မမြင်နိုင်ဘဲ နောက်ခံတွင် လုပ်ဆောင်နိုင်သည်။

3) စိတ်ကြိုက်ဒေတာ အထွက်ဖော်မတ်များကို သတ်မှတ်ပါ။

ရွေးချယ်ထားသော ထောက်ပံ့ကြေးများကို အကောင်အထည် ဖော်ပြီးနောက်၊ ခွင့်ပြုချက်သည် အလုပ်လုပ်သည်၊ အသုံးပြုသူနှင့် ပတ်သက်သည့် ဒေတာကို ရယူရန် မှတ်သားထိုက်ပါသည်။ ODC တွင် သင့်လက်ရှိဝင်ရောက်ခွင့် တိုကင်နှင့် ၎င်းသည် ခေတ်မီနေပါက အသုံးပြုသူဒေတာကို တောင်းဆိုနိုင်သည့် သီးခြားအဆုံးအချက်တစ်ခု ရှိသည်။ အကယ်၍ အသုံးပြုသူ၏ဒေတာသည် မကြာခဏမပြောင်းလဲဘဲ လက်ရှိအရာများကို အကြိမ်များစွာ လိုက်နာရန် လိုအပ်ပါက၊ သင်သည် JWT တိုကင်များကဲ့သို့ ဖြေရှင်းချက်သို့ ရောက်ရှိလာနိုင်သည်။ ဤတိုကင်များကို စံနှုန်းဖြင့်လည်း ထောက်ခံပါသည်။ JWT တိုကင်ကိုယ်တိုင်တွင် အပိုင်းသုံးပိုင်းပါဝင်သည်- ခေါင်းစီး (တိုကင်အချက်အလက်)၊ payload (လိုအပ်သောဒေတာ) နှင့် လက်မှတ် (လက်မှတ်၊ တိုကင်ကို ဆာဗာမှ လက်မှတ်ရေးထိုးထားပြီး နောက်ပိုင်းတွင် ၎င်း၏ လက်မှတ်အရင်းအမြစ်ကို သင်စစ်ဆေးနိုင်သည်)။

ODC အကောင်အထည်ဖော်မှုတွင် JWT တိုကင်ကို id_token ဟုခေါ်သည်။ ၎င်းကို ပုံမှန်ဝင်ရောက်ခွင့် တိုကင်တစ်ခုနှင့်အတူ တောင်းဆိုနိုင်ပြီး ကျန်အရာအားလုံးမှာ လက်မှတ်ကို အတည်ပြုရန်ဖြစ်သည်။ ခွင့်ပြုချက်ဆာဗာတွင် ဖော်မတ်ရှိ အများသူငှာသော့များစွာဖြင့် ၎င်းအတွက် သီးခြားအဆုံးမှတ်တစ်ခု ရှိသည်။ J.W.K.. ဤအချက်ကို ပြောရလျှင် စံနှုန်းကိုအခြေခံသည့် အခြားအဆုံးအချက်တစ်ခု ရှိသည်ကို သတိပြုသင့်သည်။ RFC5785 ODC ဆာဗာ၏ လက်ရှိဖွဲ့စည်းပုံကို ထင်ဟပ်စေသည်။ ၎င်းတွင် လက်မှတ်ထိုးရန်အတွက် အသုံးပြုသည့် အများသူငှာသော့ကွင်း၏ လိပ်စာအပါအဝင်၊ အဆုံးမှတ်လိပ်စာများအားလုံး၊ ပံ့ပိုးပေးထားသော အမှတ်တံဆိပ်များနှင့် နယ်ပယ်များ၊ အသုံးပြုထားသော ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ်များ၊ ပံ့ပိုးပေးထားသည့် ထောက်ပံ့ကြေးများ စသည်တို့ ပါဝင်ပါသည်။

ဥပမာ Google တွင်-

{
 "issuer": "https://accounts.google.com",
 "authorization_endpoint": "https://accounts.google.com/o/oauth2/v2/auth",
 "device_authorization_endpoint": "https://oauth2.googleapis.com/device/code",
 "token_endpoint": "https://oauth2.googleapis.com/token",
 "userinfo_endpoint": "https://openidconnect.googleapis.com/v1/userinfo",
 "revocation_endpoint": "https://oauth2.googleapis.com/revoke",
 "jwks_uri": "https://www.googleapis.com/oauth2/v3/certs",
 "response_types_supported": [
  "code",
  "token",
  "id_token",
  "code token",
  "code id_token",
  "token id_token",
  "code token id_token",
  "none"
 ],
 "subject_types_supported": [
  "public"
 ],
 "id_token_signing_alg_values_supported": [
  "RS256"
 ],
 "scopes_supported": [
  "openid",
  "email",
  "profile"
 ],
 "token_endpoint_auth_methods_supported": [
  "client_secret_post",
  "client_secret_basic"
 ],
 "claims_supported": [
  "aud",
  "email",
  "email_verified",
  "exp",
  "family_name",
  "given_name",
  "iat",
  "iss",
  "locale",
  "name",
  "picture",
  "sub"
 ],
 "code_challenge_methods_supported": [
  "plain",
  "S256"
 ],
 "grant_types_supported": [
  "authorization_code",
  "refresh_token",
  "urn:ietf:params:oauth:grant-type:device_code",
  "urn:ietf:params:oauth:grant-type:jwt-bearer"
 ]
}

ထို့ကြောင့် id_token ကို အသုံးပြု၍ လိုအပ်သော လက္ခဏာများအားလုံးကို တိုကင်၏ payload သို့ လွှဲပြောင်းနိုင်ပြီး အသုံးပြုသူဒေတာကို တောင်းဆိုရန် အကြိမ်တိုင်း ခွင့်ပြုချက်ဆာဗာကို မဆက်သွယ်ပါ။ ဤချဉ်းကပ်မှု၏အားနည်းချက်မှာ ဆာဗာမှအသုံးပြုသူဒေတာပြောင်းလဲမှုသည် ချက်ချင်းမလာဘဲ ဝင်ရောက်ခွင့်တိုကင်အသစ်တစ်ခုနှင့်အတူဖြစ်သည်။

အကောင်အထည်ဖော်မှုရလဒ်များ

ထို့ကြောင့်၊ ကျွန်ုပ်တို့၏ကိုယ်ပိုင် ODC ဆာဗာကို အကောင်အထည်ဖော်ပြီး အပလီကေးရှင်းဘက်တွင် ၎င်းနှင့်ချိတ်ဆက်မှုများကို ချိန်ညှိပြီးနောက်၊ သုံးစွဲသူများနှင့်ပတ်သက်သော အချက်အလက်လွှဲပြောင်းခြင်းပြဿနာကို ဖြေရှင်းခဲ့သည်။
ODC သည် ပွင့်လင်းသော စံနှုန်းတစ်ခုဖြစ်သောကြောင့် ကျွန်ုပ်တို့တွင် ရှိပြီးသားဝန်ဆောင်မှုပေးသူ သို့မဟုတ် ဆာဗာအကောင်အထည်ဖော်မှုကို ရွေးချယ်ရန် ရွေးချယ်ခွင့်ရှိသည်။ Configure လုပ်ရန် အလွန်အဆင်ပြေသည့် Keycloak ကိုကျွန်ုပ်တို့ကြိုးစားခဲ့ပြီး၊ အပလီကေးရှင်းဘက်မှချိတ်ဆက်မှုပုံစံများကိုထည့်သွင်းပြီးပြောင်းလဲပြီးနောက်၊ ၎င်းသည် အဆင်သင့်ဖြစ်ပါပြီ။ အပလီကေးရှင်းဘက်တွင်၊ ကျန်ရှိနေသေးသည်မှာ ချိတ်ဆက်မှုပုံစံများကို ပြောင်းလဲရန်ဖြစ်သည်။

ရှိပြီးသား ဖြေရှင်းနည်းတွေအကြောင်း ပြောနေတာ

ကျွန်ုပ်တို့၏အဖွဲ့အစည်းအတွင်း၊ ပထမဆုံး ODC ဆာဗာအနေဖြင့် လိုအပ်သလိုဖြည့်စွက်ထားသည့် ကျွန်ုပ်တို့၏ကိုယ်ပိုင်အကောင်အထည်ဖော်မှုကို စုစည်းထားပါသည်။ အခြားသော အဆင်သင့်လုပ်ထားသော ဖြေရှင်းနည်းများကို အသေးစိတ်ပြန်လည်သုံးသပ်ပြီးနောက်၊ ဤအချက်သည် အမိုက်စားအချက်ဖြစ်သည်ဟု ကျွန်ုပ်တို့ပြောနိုင်ပါသည်။ ၎င်းတို့၏ကိုယ်ပိုင်ဆာဗာကို အကောင်အထည်ဖော်ရန် ဆုံးဖြတ်ချက်ကို ထောက်ခံသည့်အနေဖြင့် လိုအပ်သောလုပ်ဆောင်နိုင်စွမ်းမရှိခြင်းအပြင် အချို့သောဝန်ဆောင်မှုများအတွက် စိတ်ကြိုက်ခွင့်ပြုချက်များစွာရှိသည့် စနစ်ဟောင်းတစ်ခုရှိနေခြင်းအတွက် ပံ့ပိုးပေးသူများဘက်မှ စိုးရိမ်မှုများရှိခဲ့သည်။ ဝန်ထမ်းများ၏ အချက်အလက်များကို သိမ်းဆည်းထားပြီးဖြစ်သည်။ သို့သော်လည်း အဆင်သင့်ဖြစ်ထားသော အကောင်အထည်ဖော်မှုများတွင် ပေါင်းစည်းရန်အတွက် အဆင်ပြေမှုများရှိပါသည်။ ဥပမာအားဖြင့်၊ Keycloak တွင် ၎င်း၏ကိုယ်ပိုင်အသုံးပြုသူစီမံခန့်ခွဲမှုစနစ်ရှိပြီး ဒေတာကို ၎င်းတွင် တိုက်ရိုက်သိမ်းဆည်းထားပြီး ၎င်းသည် သင့်အသုံးပြုသူများကို ထိုနေရာတွင် ကျော်တက်ရန် ခက်ခဲမည်မဟုတ်ပါ။ ဒါကိုလုပ်ဖို့၊ Keycloak မှာ လိုအပ်တဲ့ လွှဲပြောင်းလုပ်ဆောင်ချက်အားလုံးကို အပြည့်အဝလုပ်ဆောင်နိုင်စေမယ့် API တစ်ခုရှိပါတယ်။

ကျွန်ုပ်၏အမြင်အရ၊ အကောင်အထည်ဖော်ခြင်း၏ နောက်ထပ်ဥပမာတစ်ခုမှာ Ory Hydra ဖြစ်သည်။ ကွဲပြားခြားနားသောအစိတ်အပိုင်းများပါ ၀ င်သောကြောင့်စိတ်ဝင်စားစရာကောင်းသည်။ ပေါင်းစည်းရန်၊ သင်၏အသုံးပြုသူစီမံခန့်ခွဲမှုဝန်ဆောင်မှုကို ၎င်းတို့၏ခွင့်ပြုချက်ပေးသည့်ဝန်ဆောင်မှုနှင့် ချိတ်ဆက်ပြီး လိုအပ်သလို တိုးချဲ့ရန် လိုအပ်မည်ဖြစ်သည်။

Keycloak နှင့် Ory Hydra သည် တစ်ခုတည်းသော စင်ပြင်ပဖြေရှင်းနည်းများမဟုတ်ပါ။ OpenID ဖောင်ဒေးရှင်းမှ အသိအမှတ်ပြုထားသော အကောင်အထည်ဖော်မှုကို ရွေးချယ်ခြင်းသည် အကောင်းဆုံးဖြစ်သည်။ ဤဖြေရှင်းချက်များတွင် အများအားဖြင့် OpenID အသိအမှတ်ပြု တံဆိပ်ပါရှိသည်။

သင်၏ ODC ဆာဗာကို မသိမ်းထားလိုပါက ရှိပြီးသား အခပေးဝန်ဆောင်မှုပေးသူများအကြောင်းကိုလည်း မမေ့ပါနှင့်။ ယနေ့ခေတ်တွင် ရွေးချယ်စရာကောင်းများစွာရှိသည်။

နောက်တစ်ခုကဘာလဲ

မဝေးတော့သောအနာဂတ်တွင်၊ ကျွန်ုပ်တို့သည် အခြားနည်းလမ်းဖြင့် အတွင်းပိုင်းဝန်ဆောင်မှုများသို့ အသွားအလာများကို ပိတ်သွားပါမည်။ OpenResty ကို အသုံးပြု၍ ကျွန်ုပ်တို့၏လက်ရှိ SSO ကို ချိန်ခွင်လျှာတွင် OAuth ပေါ်အခြေခံ၍ ပရောက်စီတစ်ခုသို့ လွှဲပြောင်းရန် စီစဉ်ပါသည်။ ဤနေရာတွင် အဆင်သင့်လုပ်ထားသော ဖြေရှင်းနည်းများစွာ ရှိပြီး၊ ဥပမာ၊
github.com/bitly/oauth2_proxy
github.com/ory/oathkeeper
github.com/keycloak/keycloak-gatekeeper

အပိုဆောင်းပစ္စည်းများ

jwt.io - JWT တိုကင်များကို တရားဝင်စစ်ဆေးရန်အတွက် ကောင်းမွန်သောဝန်ဆောင်မှု
openid.net/developers/certified - အသိအမှတ်ပြု ODDC အကောင်အထည်ဖော်မှုစာရင်း

source: www.habr.com