OAuth र OpenID जडानको लागि एउटा इलस्ट्रेटेड गाइड

नोट। अनुवाद।: Okta को यो उत्कृष्ट लेखले OAuth र OIDC (OpenID Connect) ले सरल र स्पष्ट तरिकामा कसरी काम गर्छ भनी वर्णन गर्दछ। यो ज्ञान विकासकर्ताहरू, प्रणाली प्रशासकहरू, र लोकप्रिय वेब अनुप्रयोगहरूको "नियमित प्रयोगकर्ताहरू" को लागि उपयोगी हुनेछ, जसले सम्भवतः अन्य सेवाहरूसँग गोप्य डाटा आदान प्रदान गर्दछ।

इन्टरनेटको ढुङ्गा युगमा, सेवाहरू बीच जानकारी साझा गर्न सजिलो थियो। तपाईंले एक सेवाबाट अर्को सेवामा आफ्नो लगइन र पासवर्ड दिनुभयो, ताकि उसले तपाईंको खाता प्रविष्ट गर्यो र उसलाई आवश्यक पर्ने कुनै पनि जानकारी प्राप्त गर्यो।

"मलाई तिम्रो बैंक खाता दिनुहोस्।" "हामी वचन दिन्छौं कि पासवर्ड र पैसाको साथ सबै ठीक हुनेछ। त्यो इमानदार, इमानदार हो!" *हे हे*

डरलाग्दो! कसैले पनि प्रयोगकर्तालाई प्रयोगकर्ता नाम र पासवर्ड साझा गर्न आवश्यक पर्दैन, प्रमाणहरू, अर्को सेवा संग। यस सेवाको पछाडि रहेको संस्थाले डाटा सुरक्षित राख्छ र आवश्यकताभन्दा बढी व्यक्तिगत जानकारी सङ्कलन गर्दैन भन्ने कुनै ग्यारेन्टी छैन। यो पागल लाग्न सक्छ, तर केहि अनुप्रयोगहरूले अझै पनि यो अभ्यास प्रयोग गर्दछ!

आज त्यहाँ एक एकल मानक छ जसले एक सेवालाई अर्कोको डाटा सुरक्षित रूपमा प्रयोग गर्न अनुमति दिन्छ। दुर्भाग्यवश, त्यस्ता मानकहरूले धेरै शब्दजाल र सर्तहरू प्रयोग गर्छन्, जसले उनीहरूको बुझाइलाई जटिल बनाउँछ। यस सामग्रीको उद्देश्य सरल दृष्टान्तहरू प्रयोग गरेर तिनीहरूले कसरी काम गर्छन् भनेर व्याख्या गर्नु हो (के तपाईलाई लाग्छ कि मेरो रेखाचित्रहरू बच्चाहरूको डबिङसँग मिल्दोजुल्दो छ? ओह राम्रो!)।

वैसे, यो गाइड भिडियो ढाँचामा पनि उपलब्ध छ:

महिला र सज्जनहरू, स्वागत छ: OAuth 2.0

OAuth 2.0 एक सुरक्षा मानक हो जसले एउटा अनुप्रयोगलाई अर्को अनुप्रयोगमा जानकारी पहुँच गर्न अनुमति प्राप्त गर्न अनुमति दिन्छ। इजाजत पत्र जारी गर्नका लागि चरणहरूको अनुक्रम [अनुमति] (वा सहमति [सहमति]) अक्सर कल गर्नुहोस् प्राधिकरण [अधिकार] वा पनि प्रत्यायोजित प्राधिकरण [प्रत्यायोजित प्राधिकरण]। यस मापदण्डको साथ, तपाइँले तपाइँको पासवर्ड नदिई तपाइँको तर्फबाट डेटा पढ्न वा तपाइँको तर्फबाट अर्को अनुप्रयोगको प्रकार्यहरू प्रयोग गर्न अनुप्रयोगलाई अनुमति दिनुहुन्छ। कक्षा!

उदाहरणको रूपमा, मानौं कि तपाईंले "Unlucky Pun of the Day" नामक साइट पत्ता लगाउनुभयो। [दिनको भयानक पन] र फोनमा पाठ सन्देश को रूप मा दैनिक puns प्राप्त गर्न को लागी यसमा दर्ता गर्ने निर्णय गर्यो। तपाईंले साइटलाई साँच्चै मन पराउनुभयो, र तपाईंले यसलाई आफ्ना सबै साथीहरूसँग साझेदारी गर्ने निर्णय गर्नुभयो। आखिर, सबैले डरलाग्दो शब्दहरू मन पराउँछन्, हैन?

"दिनको दुर्भाग्यपूर्ण शब्द: आफ्नो शरीरको बायाँ आधा गुमाउने केटाको बारेमा सुन्नुभयो? अब उहाँ सधैं सही हुनुहुन्छ! ” (अनुमानित अनुवाद, किनभने मूलको आफ्नै शब्द छ - लगभग अनुवाद।)

यो स्पष्ट छ कि सम्पर्क सूचीबाट प्रत्येक व्यक्तिलाई लेख्ने विकल्प छैन। र, यदि तपाईं म जस्तै अलिकति पनि हुनुहुन्छ भने, तपाईं अनावश्यक कामबाट बच्न कुनै पनि हदसम्म जानुहुनेछ। सौभाग्यवश, दिनको भयानक पुनले तपाइँका सबै साथीहरूलाई आफैले आमन्त्रित गर्न सक्छ! यो गर्नको लागि, तपाईंले आफ्नो सम्पर्कहरूको इमेलमा पहुँच खोल्न आवश्यक छ - साइटले नै तिनीहरूलाई निमन्त्रणाहरू पठाउनेछ (OAuth नियमहरू)!

"सबैले puns मन पराउँछन्! - पहिले नै लग इन हुनुहुन्छ? "के तपाइँ टेरिबल पन अफ द डे वेबसाइटलाई तपाइँको सम्पर्क सूची पहुँच गर्न अनुमति दिन चाहनुहुन्छ? - धन्यवाद! अब देखि, हामीले समयको अन्त्य सम्म तपाईले चिनेका सबैलाई हरेक दिन रिमाइन्डरहरू पठाउने छौँ! तिमी सबैभन्दा मिल्ने साथी हौ!"

1. आफ्नो इमेल सेवा छान्नुहोस्।
2. आवश्यक भएमा, मेल साइटमा जानुहोस् र आफ्नो खातामा साइन इन गर्नुहोस्।
3. तपाईंको सम्पर्कहरू पहुँच गर्न दिनको भयानक पन अनुमति दिनुहोस्।
4. दिनको भयानक पन साइटमा फर्कनुहोस्।

यदि तपाईंले आफ्नो मन परिवर्तन गर्नुभयो भने, OAuth प्रयोग गर्ने अनुप्रयोगहरूले पहुँच रद्द गर्ने तरिका पनि प्रदान गर्दछ। एकचोटि तपाईंले निर्णय गर्नुभएपछि तपाईं टेरिबल पन अफ द डेसँग सम्पर्कहरू साझेदारी गर्न चाहनुहुन्न, तपाईं मेल साइटमा जान सक्नुहुन्छ र अधिकृत अनुप्रयोगहरूको सूचीबाट पन साइट हटाउन सक्नुहुन्छ।

OAuth प्रवाह

हामी भर्खरै जसलाई सामान्यतया भनिन्छ मार्फत गएका छौं प्रवाह [प्रवाह] OAuth। हाम्रो उदाहरणमा, यो प्रवाह दृश्यात्मक चरणहरू, साथै धेरै अदृश्य चरणहरू समावेश गर्दछ, जसमा दुई सेवाहरू सूचनाको सुरक्षित आदानप्रदानमा सहमत हुन्छन्। अघिल्लो टेरिबल पन अफ द डे उदाहरणले सबैभन्दा सामान्य OAuth 2.0 प्रवाह प्रयोग गर्दछ, जसलाई "अधिकृतता कोड" प्रवाह भनिन्छ। ["प्राधिकरण कोड" प्रवाह].

OAuth ले कसरी काम गर्छ भन्ने विवरणहरूमा डाइभ गर्नु अघि, केही सर्तहरूको अर्थको बारेमा कुरा गरौं:

• स्रोत मालिक:

  
  
  यो तपाईं हो! तपाइँ तपाइँको प्रमाणहरू, तपाइँको डाटा, र तपाइँको खाताहरूमा प्रदर्शन हुन सक्ने सबै गतिविधिहरू नियन्त्रण गर्नुहुन्छ।

• ग्राहक:

  
  
  एउटा एप्लिकेसन (उदाहरणका लागि, द टेरिबल पन अफ द डे सेवा) जसले पहुँच गर्न वा तर्फबाट केही कार्यहरू गर्न चाहन्छ। स्रोत मालिक'ए।

• प्राधिकरण सर्भर:

  
  
  थाहा छ कि अनुप्रयोग स्रोत मालिक'a र जसमा u स्रोत मालिकपहिले नै खाता छ।

• स्रोत सर्भर:

  
  
  अनुप्रयोग प्रोग्रामिङ इन्टरफेस (एपीआई) वा सेवा ग्राहक तर्फबाट प्रयोग गर्न चाहन्छ स्रोत मालिक'ए।

• URI रिडिरेक्ट गर्नुहोस्:

  
  
  त्यो लिङ्क प्राधिकरण सर्भर रिडिरेक्ट गर्नेछ स्रोत मालिक' र अनुमति दिए पछि ग्राहक'मा। यसलाई कहिलेकाहीँ "कलब्याक URL" भनिन्छ।

• प्रतिक्रिया प्रकार:

  
  
  प्राप्त हुने अपेक्षा गरिएको जानकारीको प्रकार ग्राहक। सबैभन्दा सामान्य प्रतिक्रिया प्रकार'ओम कोड हो, त्यो हो ग्राहक प्राप्त गर्ने अपेक्षा गर्दछ प्राधिकरण कोड.

• स्कोप:

  
  
  यो आवश्यक पर्ने अनुमतिहरूको विस्तृत विवरण हो ग्राहक'y, जस्तै डाटा पहुँच वा निश्चित कार्यहरू प्रदर्शन।

• सहमति:

  
  
  प्राधिकरण सर्भर लिन्छ स्कोपहरूअनुरोध गरियो ग्राहक'ओम, र सोध्छ स्रोत मालिक'क, उहाँ उपलब्ध गराउन तयार हुनुहुन्छ ग्राहक'उचित अनुमति छ।

• ग्राहक आईडी:

  
  
  यो आईडी पहिचान गर्न प्रयोग गरिन्छ ग्राहक'एक मा प्राधिकरण सर्भर'इ।

• ग्राहक गोप्य:

  
  
  यो मात्र थाहा भएको पासवर्ड हो ग्राहक'उ र प्राधिकरण सर्भर'मा। यसले तिनीहरूलाई निजी रूपमा जानकारी साझा गर्न अनुमति दिन्छ।

• प्राधिकरण कोड:

  
  
  वैधताको छोटो अवधिको साथ अस्थायी कोड, जुन ग्राहक प्रदान गर्दछ प्राधिकरण सर्भरको बदलामा टोकन पहुँच गर्नुहोस्.

• टोकन पहुँच गर्नुहोस्:

  
  
  ग्राहकले सञ्चार गर्न प्रयोग गर्ने कुञ्जी स्रोत सर्भर'ओम। एक प्रकारको ब्याज वा कुञ्जी कार्ड जसले प्रदान गर्दछ ग्राहकडेटा अनुरोध गर्न वा कार्यहरू गर्न अनुमति छ स्रोत सर्भरतपाईंको तर्फबाट।

भन्नु: कहिलेकाहीँ प्राधिकरण सर्भर र स्रोत सर्भर एउटै सर्भर हो। यद्यपि, केही अवस्थामा, यी फरक सर्भरहरू हुन सक्छन्, भले ही तिनीहरू एउटै संस्थासँग सम्बन्धित छैनन्। उदाहरण को लागी, प्राधिकरण सर्भर संसाधन सर्भर द्वारा विश्वसनीय तेस्रो पक्ष सेवा हुन सक्छ।

अब हामीले OAuth 2.0 को मूल अवधारणाहरू कभर गरेका छौं, हामी हाम्रो उदाहरणमा फर्कौं र OAuth प्रवाहमा के हुन्छ भनेर नजिकबाट हेरौं।

1. तिमी, स्रोत मालिक, तपाईं दिनको भयानक पुन सेवा प्रदान गर्न चाहनुहुन्छ (ग्राहकy) तपाईंका सम्पर्कहरूमा पहुँच गर्नुहोस् ताकि तिनीहरूले तपाईंका सबै साथीहरूलाई निमन्त्रणाहरू पठाउन सक्नेछन्।
2. ग्राहक ब्राउजरलाई पृष्ठमा रिडिरेक्ट गर्छ प्राधिकरण सर्भर'a र क्वेरीमा समावेश गर्नुहोस् ग्राहक आईडी, URI रिडिरेक्ट गर्नुहोस्, प्रतिक्रिया प्रकार र एक वा बढी स्कोपहरू (अनुमति) यसलाई आवश्यक छ।
3. प्राधिकरण सर्भर आवश्यक भएमा प्रयोगकर्ता नाम र पासवर्डको लागि सोध्दै, तपाईंलाई प्रमाणित गर्दछ।
4. प्राधिकरण सर्भर फारम देखाउँछ सहमति (पुष्टिहरू) सबैको सूचीको साथ स्कोपहरूअनुरोध गरियो ग्राहक'ओम। तपाईं सहमत वा अस्वीकार गर्नुहोस्।
5. प्राधिकरण सर्भर तपाईंलाई साइटमा रिडिरेक्ट गर्दछ ग्राहक'ए, प्रयोग गर्दै URI रिडिरेक्ट गर्नुहोस् सँगृ प्राधिकरण कोड (प्राधिकरण कोड)।
6. ग्राहक सँग प्रत्यक्ष संवाद गर्दछ प्राधिकरण सर्भर'ओम (ब्राउजरलाई बाइपास गर्दै स्रोत मालिक'क) र सुरक्षित रूपमा पठाउँछ ग्राहक आईडी, ग्राहक गोप्य и प्राधिकरण कोड.
7. प्राधिकरण सर्भर डाटा जाँच गर्छ र जवाफ दिन्छ टोकन पहुँच गर्नुहोस्ओम (पहुँच टोकन)।
8. अहिले ग्राहक उपयोग गर्न सक्नुहुन्छ टोकन पहुँच गर्नुहोस् मा अनुरोध पठाउन स्रोत सर्भर सम्पर्कहरूको सूची प्राप्त गर्न।

ग्राहक आईडी र गोप्य

तपाईंले आफ्नो सम्पर्कहरूमा पहुँच गर्न दिनको भयानक पुनलाई अनुमति दिनु अघि, ग्राहक र प्राधिकरण सर्भरले काम गर्ने सम्बन्ध स्थापना गरेको थियो। प्राधिकरण सर्भरले ग्राहक आईडी र ग्राहक गोप्य उत्पन्न गर्‍यो (कहिलेकाँही भनिन्छ अनुप्रयोग ID и एप गोप्य) र तिनीहरूलाई OAuth भित्र थप अन्तरक्रियाको लागि ग्राहकलाई पठाइयो।

"- हेल्लो! म तपाईंसँग काम गर्न चाहन्छु! - पक्का, समस्या छैन! यहाँ तपाईंको ग्राहक आईडी र गोप्य छ!

नामले संकेत गर्छ कि क्लाइन्ट गोप्य गोप्य राख्नुपर्छ ताकि ग्राहक र प्राधिकरण सर्भरले मात्र यो थाहा पाऊन्। आखिर, यो उहाँको मद्दतले हो कि प्राधिकरण सर्भरले ग्राहकको सत्यता पुष्टि गर्दछ।

तर यति मात्र होइन... कृपया OpenID Connect लाई स्वागत गर्नुहोस्!

OAuth 2.0 को लागि मात्र डिजाइन गरिएको हो प्राधिकरण - एक अनुप्रयोगबाट अर्कोमा डेटा र प्रकार्यहरूमा पहुँच प्रदान गर्न। ओपनआईडी जडान (OIDC) OAuth 2.0 को शीर्षमा रहेको पातलो तह हो जसले खातामा साइन इन भएको प्रयोगकर्ताको लगइन र प्रोफाइल विवरणहरू थप्छ। लगइन सत्रको संगठनलाई प्रायः भनिन्छ प्रमाणीकरण [प्रमाणीकरण], र प्रणालीमा लगइन गरिएको प्रयोगकर्ताको बारेमा जानकारी (जस्तै बारे स्रोत मालिक'ई), - व्यक्तिगत डेटा [पहिचान]। यदि प्राधिकरण सर्भरले OIDC लाई समर्थन गर्दछ भने, यसलाई कहिलेकाहीं भनिन्छ व्यक्तिगत डाटा को प्रदायक [पहिचान प्रदायक]किनभने यो प्रदान गर्दछ ग्राहक' बारे जानकारी छ स्रोत मालिक'इ।

ओपनआईडी जडानले तपाईंलाई परिदृश्यहरू लागू गर्न अनुमति दिन्छ जहाँ एकल लगइन धेरै अनुप्रयोगहरूमा प्रयोग गर्न सकिन्छ - यो दृष्टिकोणलाई पनि भनिन्छ। एकल साइन-अन (SSO)। उदाहरणका लागि, एउटा अनुप्रयोगले फेसबुक वा ट्विटर जस्ता सामाजिक सञ्जालहरूसँग SSO एकीकरणलाई समर्थन गर्न सक्छ, जसले प्रयोगकर्ताहरूलाई उनीहरूसँग पहिले नै भएको खाता प्रयोग गर्न र प्रयोग गर्न रुचाउने अनुमति दिन्छ।

प्रवाह (प्रवाह) OpenID जडान OAuth को मामलामा जस्तै देखिन्छ। फरक यति मात्र हो कि प्राथमिक अनुरोधमा, प्रयोग गरिएको विशिष्ट दायरा हो openid, - ए ग्राहक अन्ततः जस्तै हुन्छ टोकन पहुँच गर्नुहोस्, र आईडी टोकन.

OAuth प्रवाहमा जस्तै, टोकन पहुँच गर्नुहोस् OpenID Connect मा, यो केहि मान हो जुन स्पष्ट छैन ग्राहक'मा। दृष्टिकोणबाट ग्राहक'ए टोकन पहुँच गर्नुहोस् प्रत्येक अनुरोधको साथ पास गरिएको क्यारेक्टरहरूको स्ट्रिङलाई प्रतिनिधित्व गर्दछ स्रोत सर्भर'y, जसले टोकन मान्य छ कि छैन भनेर निर्धारण गर्छ। आईडी टोकन पूर्ण रूपमा फरक कुराको प्रतिनिधित्व गर्दछ।

आईडी टोकन एक JWT हो

आईडी टोकन JSON वेब टोकन वा JWT भनेर चिनिने वर्णहरूको विशेष रूपले ढाँचा गरिएको स्ट्रिङ हो (कहिलेकाहीँ JWT टोकनहरू "jots" जस्तै उच्चारण गरिन्छ)। बाहिरका पर्यवेक्षकहरूको लागि, JWT बुझ्न नसकिने गब्बरिश जस्तो लाग्न सक्छ, तर ग्राहक JWT बाट विभिन्न जानकारी निकाल्न सक्छ, जस्तै आईडी, प्रयोगकर्ता नाम, लगइन समय, म्याद समाप्ति मिति आईडी टोकन'ए, JWT मा हस्तक्षेप गर्ने प्रयासहरूको उपस्थिति। भित्र डाटा आईडी टोकन'क भनिन्छ अनुप्रयोगहरू [दावी].

OIDC को मामला मा, त्यहाँ एक मानक तरीका पनि छ जसद्वारा ग्राहक व्यक्तिको बारेमा थप जानकारी अनुरोध गर्न सक्छ [पहिचान] देखि प्राधिकरण सर्भर'a, उदाहरणका लागि, प्रयोग गरेर इमेल ठेगाना टोकन पहुँच गर्नुहोस्.

OAuth र OIDC बारे थप जान्नुहोस्

त्यसोभए, हामीले OAuth र OIDC कसरी काम गर्छ भनेर संक्षिप्त रूपमा समीक्षा गर्यौं। गहिरो खन्न तयार हुनुहुन्छ? OAuth 2.0 र OpenID Connect बारे थप जान्न मद्दत गर्न यहाँ थप स्रोतहरू छन्:

• हेक OAuth के हो?
• कसैले पनि OAuth वा OpenID जडानको वास्ता गर्दैन
• PKCE प्रवाहको साथ OAuth 2.0 प्राधिकरण कोड लागू गर्नुहोस्
• OAuth 2.0 अनुदान प्रकार के हो?
• OAuth 2.0 आदेश रेखाबाट
• SQL सर्भरको साथ एक सुरक्षित Node.js एप बनाउनुहोस्

सधैं जस्तै, टिप्पणी गर्न नहिचकिचाउनुहोस्। हाम्रो नवीनतम समाचार संग अद्यावधिक रहन को लागी, सदस्यता लिनुहोस् twitter и YouTube विकासकर्ताहरूको लागि ओक्टा!

अनुवादकबाट PS

हाम्रो ब्लगमा पनि पढ्नुहोस्:

• «कुबेरनेटमा सुरक्षाको एबीसी: प्रमाणीकरण, प्राधिकरण, अडिटिङ»;
• «Kubernetes मा प्रयोगकर्ता र प्राधिकरण RBAC»;
• «33+ Kubernetes सुरक्षा उपकरणहरू»;
• «डकर कन्टेनरहरूको लागि सुरक्षा"।

स्रोत: www.habr.com