אַן יללוסטראַטעד גייד צו OAuth און OpenID Connect

נאטיץ. טראַנסל.: דעם גרויס אַרטיקל פון Okta דערקלערט ווי OAuth און OIDC (OpenID Connect) אַרבעט אויף אַ פּשוט און קלאָר וועג. די וויסן וועט זיין נוציק פֿאַר דעוועלאָפּערס, סיסטעם אַדמיניסטראַטאָרס און אפילו "רעגולער ניצערס" פון פאָלקס וועב אַפּלאַקיישאַנז, וואָס רובֿ מסתּמא אויך וועקסל קאַנפאַדענשאַל דאַטן מיט אנדערע באַדינונגס.

אין די שטיין אַגע פון ​​די אינטערנעט, ייַנטיילונג אינפֿאָרמאַציע צווישן סערוויסעס איז גרינג. איר פשוט געגעבן דיין לאָגין און פּאַראָל פון איין דינסט צו אנדערן, אַזוי אַז ער אריין דיין חשבון און באקומען קיין אינפֿאָרמאַציע ער דארף.

"גיב מיר דיין באַנק חשבון." "מיר צוזאָג אַז אַלץ וועט זיין גוט מיט די פּאַראָל און געלט. דאָס איז ערלעך, ערלעך!" *היי היי*

גרויל! קיינער זאָל קיינמאָל דאַרפן אַ באַניצער צו טיילן אַ נאמען און פּאַראָל, קראַדענטשאַלז, מיט אן אנדער דינסט. עס איז קיין גאַראַנטירן אַז די אָרגאַניזאַציע הינטער דעם דינסט וועט האַלטן די דאַטן זיכער און וועט נישט קלייַבן מער פּערזענלעך אינפֿאָרמאַציע ווי נייטיק. עס קען געזונט מעשוגע, אָבער עטלעכע אַפּפּס נאָך נוצן דעם פירונג!

הייַנט עס איז אַ איין נאָרמאַל וואָס אַלאַוז איין דינסט צו סיקיורלי נוצן די דאַטן פון אנדערן. צום באַדויערן, אַזאַ סטאַנדאַרדס נוצן אַ פּלאַץ פון זשאַרגאָן און טערמינען, וואָס קאַמפּליקייץ זייער פארשטאנד. דער ציל פון דעם מאַטעריאַל איז צו דערקלערן ווי זיי אַרבעטן מיט פּשוט אילוסטראציעס (צי איר טראַכטן אַז מיין דראַווינגס ריזעמבאַל קינדער 'ס דאַובינג? טאַקע געזונט!).

דורך דעם וועג, דעם פירער איז אויך בנימצא אין ווידעא פֿאָרמאַט:

ליידיז און דזשענטאַלמין, באַגריסונג: OAuth 2.0

OAuth 2.0 איז אַ זיכערהייט סטאַנדאַרט וואָס אַלאַוז איין אַפּלאַקיישאַן צו באַקומען דערלויבעניש צו אַקסעס אינפֿאָרמאַציע אין אן אנדער אַפּלאַקיישאַן. סיקוואַנס פון סטעפּס פֿאַר ישוינג אַ דערלויבעניש [רשות] (אָדער צושטימען [הסכמה]) אָפט רופן דערלויבעניש [רשות] אָדער אַפֿילו דעלאַגייטאַד דערלויבעניש [דעלעגאַטעד דערלויבעניש]. מיט דעם נאָרמאַל, איר לאָזן אַ אַפּלאַקיישאַן צו לייענען דאַטן אָדער נוצן די פאַנגקשאַנז פון אן אנדער אַפּלאַקיישאַן פֿאַר דיין ביכאַף אָן געבן עס דיין פּאַראָל. קלאַס!

ווי אַ ביישפּיל, לאָזן ס זאָגן איר אַנטדעקן אַ וועבזייטל גערופֿן "שליימעסדיק פּון פון דעם טאָג" [שרעקלעך פּון פון דעם טאָג] און באַשלאָסן צו פאַרשרייַבן אויף עס אין סדר צו באַקומען טעגלעך ווערטער אין די פאָרעם פון טעקסט אַרטיקלען אויף די טעלעפאָן. איר טאַקע לייקט דעם פּלאַץ, און איר באַשלאָסן צו טיילן עס מיט אַלע דיין פרענדז. נאָך אַלע, אַלעמען לייקס קריפּי ווערטער, רעכט?

"אומגליקלעך וואָרט פון דעם טאָג: געהערט וועגן דעם באָכער וואס פאַרפאַלן די לינקס העלפט פון זיין גוף? איצט ער איז שטענדיק רעכט! ” (דערנאַכטע איבערזעצונג, ווייַל דער אָריגינעל האט זיין אייגן וואָרט - אַפּפּראָקסי איבערזעצונג.)

עס איז קלאָר אַז שרייבן צו יעדער מענטש פון די קאָנטאַקט רשימה איז נישט אַן אָפּציע. און אויב איר זענט אפילו אַ ביסל ווי מיר, איר וועט גיין צו קיין לענג צו ויסמיידן ומנייטיק אַרבעט. צומ גליק, שרעקלעך פּאָן פון דעם טאָג קענען פאַרבעטן אַלע דיין פרענדז אַליין! צו טאָן דאָס, איר נאָר דאַרפֿן צו עפֿענען אַקסעס צו די E- בריוו פון דיין קאָנטאַקטן - די פּלאַץ זיך וועט שיקן זיי ינוויטיישאַנז (OAuth כּללים)!

“אַלעמען האָבן ליב ווערטער! - שוין לאָגד אין? "וואָלט איר לאָזן די Terrible Pun of the Day וועבזייטל צו אַקסעס דיין קאָנטאַקט רשימה? - אדאנק! פֿון איצט אָן, מיר וועלן שיקן דערמאָנונג יעדער טאָג צו אַלעמען איר וויסן, ביז די סוף פון צייט! איר זענט דער בעסטער פרייַנד!"

1. קלייַבן דיין E- בריוו דינסט.
2. אויב נייטיק, גיין צו די פּאָסט פּלאַץ און קלאָץ אין צו דיין חשבון.
3. געבן טערראַבלע פּון פון די טאָג דערלויבעניש צו אַקסעס דיין קאָנטאַקטן.
4. צוריקקומען צו די פּלאַץ פון די שרעקלעך וואָרט פון דעם טאָג.

אין פאַל איר טוישן דיין מיינונג, אַפּלאַקיישאַנז ניצן OAuth אויך צושטעלן אַ וועג צו אָפּרופן אַקסעס. אַמאָל איר באַשליסן אַז איר ניט מער ווילן צו טיילן קאָנטאַקטן מיט Terrible Pun of the Day, איר קענט גיין צו די פּאָסט פּלאַץ און באַזייַטיקן דעם וואָרט פון דער רשימה פון אָטערייזד אַפּלאַקיישאַנז.

OAuth Flow

מיר האָבן נאָר דורכגעגאנגען וואָס איז יוזשאַוואַלי גערופן לויפן [פלוס] OAuth. אין אונדזער בייַשפּיל, דעם לויפן באשטייט פון קענטיק סטעפּס, ווי געזונט ווי עטלעכע ומזעיק סטעפּס, אין וואָס צוויי באַדינונגס שטימען אויף אַ זיכער וועקסל פון אינפֿאָרמאַציע. די פריערדיקע ביישפּיל פון שרעקלעך פּאָן פון די טאָג ניצט די מערסט פּראָסט OAuth 2.0 לויפן, באקאנט ווי די "אָטעריזאַטיאָן קאָד" לויפן. ["אַוטהאָריזאַטיאָן קאָד" לויפן].

איידער דייווינג אין די דעטאַילס פון ווי OAuth אַרבעט, לאָזן אונדז רעדן וועגן די טייַטש פון עטלעכע טערמינען:

• מיטל באַזיצער:

  
  
  עס איז איר! איר פאַרמאָגן דיין קראַדענטשאַלז, דיין דאַטן און קאָנטראָלירן אַלע אַקטיוויטעטן וואָס קען זיין געטאן אויף דיין אַקאַונץ.

• קוינע:

  
  
  אַ אַפּלאַקיישאַן (למשל, די Terrible Pun of the Day דינסט) וואָס וויל צו אַקסעס אָדער דורכפירן זיכער אַקשאַנז אין ביכאַף פון מיטל באַזיצער'אַ.

• דערלויבעניש סערווירער:

  
  
  די אַפּ וואָס ווייסט מיטל באַזיצער'אַ און אין וואָס יו מיטל באַזיצער'אַ שוין האָבן אַ חשבון.

• מיטל סערווער:

  
  
  אַפּפּליקאַטיאָן פּראָגראַממינג צובינד (אַפּי) אָדער דינען אַז קוינע וויל צו נוצן אויף ביכאַף מיטל באַזיצער'אַ.

• רידירעקט URI:

  
  
  דער לינק אַז דערלויבעניש סערווירער וועט רידערעקט מיטל באַזיצער'און נאָך געבן דערלויבעניש קוינע'בייַ. עס איז מאל ריפערד צו ווי די "קאָלבאַק URL".

• ענטפער טיפּ:

  
  
  דער טיפּ פון אינפֿאָרמאַציע דערוואַרט צו זיין באקומען קוינע. די מערסט פּראָסט ענטפער טיפּ'אָהם איז די קאָד, וואָס איז קוינע ערווארטעט צו באקומען דערלויבעניש קאָוד.

• פאַרנעם:

  
  
  דאָס איז אַ דיטיילד באַשרייַבונג פון די פּערמישאַנז וואָס זענען פארלאנגט קוינע'י, אַזאַ ווי אַקסעסינג דאַטן אָדער דורכפירן זיכער אַקשאַנז.

• צושטימען:

  
  
  דערלויבעניש סערווירער נעמט סקאָפּעסגעבעטן קוינע'אָם, און פרעגט מיטל באַזיצער'אַ, איז ער גרייט צו צושטעלן קוינע'האָבן די צונעמען פּערמישאַנז.

• קליענט שייַן:

  
  
  דעם ID איז געניצט צו ידענטיפיצירן קוינע' אויף דערלויבעניש סערווירער'ע.

• קליענט סוד:

  
  
  דאָס איז די פּאַראָל וואָס איז בלויז באקאנט קוינע'ו און דערלויבעניש סערווירער'בייַ. עס אַלאַוז זיי צו טיילן אינפֿאָרמאַציע ביכידעס.

• דערלויבעניש קאָוד:

  
  
  צייַטווייַליק קאָד מיט אַ קורץ צייַט פון גילטיקייַט, וואָס קוינע גיט דערלויבעניש סערווירער'י אין וועקסל פֿאַר אַקסעס טאָקען.

• אַקסעס טאָקען:

  
  
  דער שליסל וואָס דער קליענט וועט נוצן צו יבערגעבן מיט מיטל סערווער'אָם. א סאָרט פון אָפּצייכן אָדער שליסל קאָרט וואָס גיט קוינע'האָבן דערלויבעניש צו בעטן דאַטן אָדער דורכפירן אַקשאַנז אויף מיטל סערווער'ע אויף דיין ביכאַף.

טאָן: מאל אַוטהאָריזאַטיאָן סערווירער און מיטל סערווירער זענען די זעלבע סערווער. אָבער, אין עטלעכע קאַסעס, דאָס קען זיין פאַרשידענע סערווערס, אפילו אויב זיי געהערן נישט צו דער זעלביקער אָרגאַניזאַציע. פֿאַר בייַשפּיל, דער אַוטהאָריזאַטיאָן סערווירער קען זיין אַ דריט פּאַרטיי סערוויס טראַסטיד דורך די מיטל סערווירער.

איצט אַז מיר האָבן באדעקט די האַרץ קאַנסעפּס פון OAuth 2.0, לאָזן אונדז גיין צוריק צו אונדזער ביישפּיל און נעמען אַ נעענטער קוק אין וואָס כאַפּאַנז אין די OAuth לויפן.

1. איר, מיטל באַזיצער, איר ווילן צו צושטעלן די Terrible Pun of the Day דינסט (קוינעי) אַקסעס צו דיין קאָנטאַקטן אַזוי אַז זיי קענען שיקן ינוויטיישאַנז צו אַלע דיין פרענדז.
2. קוינע רידערעקץ דעם בלעטערער צו די בלאַט דערלויבעניש סערווירער'אַ און אַרייַננעמען אין אָנפֿרעג קליענט שייַן, רידירעקט URI, ענטפער טיפּ און איינער אָדער מער סקאָפּעס (פּערמישאַנז) עס דאַרף.
3. דערלויבעניש סערווירער וועראַפייז איר, אַסקינג פֿאַר אַ נאמען און פּאַראָל אויב נייטיק.
4. דערלויבעניש סערווירער דיספּלייז אַ פאָרעם צושטימען (קאָנפערמיישאַנז) מיט אַ רשימה פון אַלע סקאָפּעסגעבעטן קוינע'אָם. איר שטימען אָדער אָפּזאָגן.
5. דערלויבעניש סערווירער רידערעקץ איר צו דעם פּלאַץ קוינע'אַ, ניצן רידירעקט URI צוזאַמען מיט דערלויבעניש קאָוד (דערלויבעניש קאָד).
6. קוינע קאַמיונאַקייץ גלייַך מיט דערלויבעניש סערווירער'אָהם (בייפּאַסינג דעם בלעטערער מיטל באַזיצער'אַ) און בעשאָלעם סענדז קליענט שייַן, קליענט סוד и דערלויבעניש קאָוד.
7. דערלויבעניש סערווירער טשעק די דאַטן און ריספּאַנדז מיט אַקסעס טאָקען'אָם (אַקסעס סימען).
8. איצט קוינע קענען נוצן אַקסעס טאָקען צו שיקן אַ בקשה צו מיטל סערווער צו באַקומען אַ רשימה פון קאָנטאַקטן.

קליענט שייַן און סוד

לאַנג איידער איר ערלויבט שרעקלעך פּאָן פון די טאָג צו אַקסעס דיין קאָנטאַקטן, דער קליענט און דערלויבעניש סערווירער האט געגרינדעט אַ ארבעטן שייכות. דער דערלויבעניש סערווירער דזשענערייטאַד די קליענט שייַן און קליענט סוד (מאל גערופן App ID и אַפּ סוד) און געשיקט זיי צו דעם קליענט פֿאַר ווייַטער ינטעראַקשאַן אין OAuth.

"- העלא! איך וואָלט ווי צו אַרבעטן מיט איר! - זיכער, נישט אַ פּראָבלעם! דאָ זענען דיין קליענט שייַן און סוד!

דער נאָמען ימפּלייז אַז דער קליענט סוד מוזן זיין געהאלטן סוד אַזוי אַז בלויז דער קליענט און דערלויבעניש סערווירער וויסן עס. נאָך אַלע, עס איז מיט זיין הילף אַז דער דערלויבעניש סערווירער קאַנפערמז די אמת פון דעם קליענט.

אבער אַז ס ניט אַלע ... ביטע באַגריסן OpenID Connect!

OAuth 2.0 איז בלויז דיזיינד פֿאַר דערלויבעניש - צו צושטעלן אַקסעס צו דאַטן און פאַנגקשאַנז פון איין אַפּלאַקיישאַן צו אנדערן. אָפּעניד קאָננעקט (OIDC) איז אַ דין שיכטע אויף שפּיץ פון OAuth 2.0 וואָס מוסיף די לאָגין און פּראָפיל דעטאַילס פון די באַניצער וואָס איז לאָגד אין דעם חשבון. דער אָרגאַניזאַציע פון ​​אַ לאָגין סעסיע איז אָפט ריפערד צו ווי אָטענטאַקיישאַן [אָטענטאַקיישאַן], און אינפֿאָרמאַציע וועגן דעם באַניצער לאָגד אין די סיסטעם (ד"ה וועגן מיטל באַזיצערע), — פּערזענלעך דאַטן [אידענטיטעט]. אויב דער אויטאָריזאַטיאָן סערווירער שטיצט OIDC, עס איז מאל ריפערד צו ווי שפּייַזער פון פּערזענלעך דאַטן [אידענטיטעט שפּייַזער]ווייַל עס גיט קוינע'האָבן אינפֿאָרמאַציע וועגן מיטל באַזיצער'ע.

OpenID Connect אַלאַוז איר צו ינסטרומענט סינעריאָוז ווו אַ איין לאָגין קענען זיין געוויינט אין קייפל אַפּלאַקיישאַנז - דער צוגאַנג איז אויך באקאנט ווי איין צייכן אויף (SSO). פֿאַר בייַשפּיל, אַ אַפּלאַקיישאַן קען שטיצן SSO ינאַגריישאַן מיט געזעלשאַפטלעך נעטוואָרקס אַזאַ ווי פאַסעבאָאָק אָדער טוויטטער, אַלאַוינג יוזערז צו נוצן אַ חשבון וואָס זיי האָבן שוין און בעסער צו נוצן.

די לויפן (לויפן) OpenID Connect קוקט די זעלבע ווי אין די פאַל פון OAuth. דער בלויז חילוק איז אַז אין די ערשטיק בעטן, די ספּעציפיש פאַרנעם געניצט איז openid, — א קוינע יווענטשאַוואַלי געץ ווי אַקסעס טאָקעןאון ID טאָקען.

פּונקט ווי אין די OAuth לויפן, אַקסעס טאָקען אין OpenID Connect, דאָס איז אַ ווערט וואָס איז נישט קלאָר קוינע'בייַ. פון שטאנדפונקט קוינע'אַ אַקסעס טאָקען רעפּראַזענץ אַ שטריקל פון אותיות וואָס איז דורכגעגאנגען צוזאמען מיט יעדער בקשה צו מיטל סערווער'י, וואָס דיטערמאַנז אויב די סימען איז גילטיק. ID טאָקען רעפּראַזענץ אַ גאָר אַנדערש זאַך.

ID טאָקען איז אַ JWT

ID טאָקען איז אַ ספּעשלי פאָרמאַטטעד שטריקל פון אותיות באקאנט ווי JSON וועב טאָקען אָדער JWT (מאל JWT טאָקענס זענען פּראַנאַונסט ווי "דזשאַץ"). פֿאַר אַרויס אַבזערווערז, JWT קען ויסקומען ווי ינגקאַמפּראַכענסיבאַל גיבריש, אָבער קוינע קענען עקסטראַקט פאַרשידן אינפֿאָרמאַציע פון ​​די JWT, אַזאַ ווי שייַן, נאמען, לאָגין צייט, עקספּעריישאַן טאָג ID טאָקען'אַ, די בייַזייַן פון פרווון צו אַרייַנמישנ זיך מיט די JWT. דאַטן ין ID טאָקען'אַ זענען גערופן אַפּלאַקיישאַנז [טענהט].

אין דעם פאַל פון OIDC, עס איז אויך אַ נאָרמאַל וועג דורך וואָס קוינע קען בעטן נאָך אינפֿאָרמאַציע וועגן דעם יחיד [אידענטיטעט] פון דערלויבעניש סערווירער'אַ, פֿאַר בייַשפּיל, אַ בליצפּאָסט אַדרעס ניצן אַקסעס טאָקען.

לערנען מער וועגן OAuth און OIDC

אַזוי, מיר בעקיצער ריוויוד ווי OAuth און OIDC אַרבעט. גרייט צו גראָבן דיפּער? דאָ זענען נאָך רעסורסן צו העלפֿן איר לערנען מער וועגן OAuth 2.0 און OpenID Connect:

• וואָס די כעק איז OAuth?
• קיינער דאגות וועגן OAuth אָדער OpenID Connect
• ימפּלאַמענט די OAuth 2.0 דערלויבעניש קאָוד מיט PKCE פלאָו
• וואָס איז די OAuth 2.0 גראַנט טיפּ?
• OAuth 2.0 פֿון די באַפֿעלן שורה
• בויען אַ זיכער Node.js אַפּ מיט SQL סערווירער

ווי שטענדיק, פילן פריי צו באַמערקן. צו האַלטן אַרויף-צו-טאָג מיט אונדזער לעצטע נייַעס, אַבאָנירן צו טוויטטער и יאָוטובע גוט פֿאַר דעוועלאָפּערס!

פּס פון איבערזעצער

לייענען אויך אויף אונדזער בלאָג:

• «די אַבק פון זיכערהייט אין קובערנעטעס: אָטענטאַקיישאַן, דערלויבעניש, אַודיטינג";
• «יוזערז און דערלויבעניש RBAC אין Kubernetes";
• «33+ Kubernetes זיכערהייט מכשירים";
• «זיכערהייט פֿאַר דאָקקער קאַנטיינערז'.

מקור: www.habr.com