Сигурност

Управљање ОАутх пријавом

Управљање ОАутх пријавом

Важне ствари које треба да знате о ОАутх-у

ОАутх је нешто о чему сваки програмер мора да зна. Ако правите самосталну апликацију или независну апликацију која се интегрише са неком другом ХТТП услугом, морате знати како ОАутх функционише како би корисницима пружио једноставну и добро интегрисану услугу.

Идеја је да се клијентским апликацијама омогући ограничени приступ корисничким информацијама без икада дељења корисничких података или лозинке. ОАутх фрамеворк одговоран је за размену која је потребна пре него што апликација добије ваше податке.

Претпоставимо да се желите пријавити за Дев.на (што је одлично место за размену програмера за програмере) омогућавају вам регистрацију помоћу вашег ГитХуб налога. Како се то дешава? Како би знали да сте власник ГитХуб налога са којим се пријављујете?

Још важније, како обезбеђујете да Дев.то не прекорачује своје границе када су у питању ваше информације ускладиштене на ГитХуб-у?

Учесници ОАутх

Држићемо се примера додатка ГитХуб уредника Атома који омогућава програмерима да гурају код на ГитХуб директно користећи Атом интерфејс. Разлог за ово је пример јер ГитХуб не скрива детаље иза сцене и можете видети шта се догађа испод хаубе.

Пре него што уђемо у ситнице рада ОАутх-а. Поставимо сцену препознавањем свих учесника у размени:

  1. Власник или корисник ресурса: Овај корисник је тај чији подаци о налогу треба да се приступе (читају и / или пишу) како би могао да функционише са апликацијом.
  2. Клијент: Ово је апликација која тражи вашу дозволу за приступ информацијама са друге услуге. У нашем примеру је клијент Атом едитор.
  3. Ресурс: Ресурс су ваше стварне информације које седе на серверима на некој удаљеној локацији. Овоме се може приступити преко АПИ-ја ако се клијенту дају одговарајуће дозволе.
  4. Ауторизациони сервер: Такође повезано са АПИ-јем. Овај сервер одржава добављач услуга (ГитХуб у нашем примеру). И ауторизациони сервер и ресурсни сервер називају се АПИ, јер њима управља један ентитет, у овом случају ГитХуб, и излажу се као АПИ клијентском програмеру.

ОАутх регистрација

Процес започиње када се развија клијентска апликација. Можете да одете код добављача ресурса и пријавите се на порталу програмера или АПИ одељку веб локације. Такође ћете морати да наведете УРЛ за повратни позив где ће корисник бити преусмерен након прихватања или одбијања да би апликацији дао потребне дозволе.

На пример, ако одете на ГитХуб → Сеттингс → Девелопер Сеттингс и кликнете на „Региструјте нову пријаву“. Ово би вам обезбедило а ИД клијента који се могу јавно објавити и а Клијент тајна што организација за програмере мора држати ... добро у тајности.

Након што клијентски ИД и тајну добијете ви, програмер, ви мора чувајте их на сигурном јер их сервер за ауторизацију неће поново приказивати. Исто важи и за све друге жетоне који би се бацали (Више о жетонима касније).

Ток рада ОАутх 2

Регистровали сте своју пријаву. Развијен је и тестиран и сада су корисници спремни да га користе. Новом кориснику приликом регистрације на вашу услугу биће приказана опција „Пријави се помоћу ГитХуб-а“. Ово је први корак.

Корак 1: Захтев за ауторизацију

Захтев за ауторизацију је део у којем се отвара нови прозор (или сличан упит) са веб страницом ресурса и тражи од корисника да се пријаве. Ако сте већ пријављени на том уређају, овај корак се прескаче и ГитХуб вас једноставно пита да ли желите да приступите клијентској апликацији Атом. Ово је много транспарентније у случају Атома јер они траже да ручно одете на веб локацију ГитХуб и доделите им дозволу.

Приликом посете УРЛ-у тражи се дозвола.

Обратите пажњу на УРЛ који показује да је ово безбедна (ХТТПС) веб страница компаније ГитХуб.Инц. Сада ви, корисник, можете бити сигурни да директно комуницирате са ГитХуб-ом. Атом једноставно чека, прилично далеко.

За разлику од Атома, већина клијентских апликација аутоматски учитава страницу за пријаву или дозволе. Иако је ово врло згодно, може се злоупотребити и ако клијентска апликација одлучи да отвори везу за „пецање“. Да бисте то избегли, увек морате да проверите УРЛ на који сте преусмерени и да се уверите да је то исправан УРЛ и да користи ХТТПС протокол.

Корак 2: Добијање дозволе за ауторизацију

Да бисте обавестили Атом клијента, добијате токен (одобрење за одобрење) који се затим предаје Атом клијенту.

Једном када корисник то уради, посао корисника је завршен. (У ствари, типични корисник није ни свестан размене одобрења за одобрење. Пример ГитХуб-а је одабран да покаже да се то дешава).

Корак 3: Добијање приступног токена

Одобрење за одобрење још увек није ентитет који клијенту омогућава приступ корисничким информацијама. То се добија коришћењем нечега што се назива приступни токен. Који ће клијентска апликација покушати да добије у овом кораку.

Да би то урадио, клијент ће сада морати да одобри ауторизацију серверу за ауторизацију заједно са доказом о сопственом идентитету. Идентитет се верификује помоћу ИД-а клијента и тајне клијента који су раније дати апликацији клијента.

Верификација идентитета се врши како би се осигурало да корисник не буде подваљен да користи подлу апликацију која се претвара да је легална апликација. На пример, ако неко одлучи да своју извршну датотеку именује Атом са истим именом, логотипом и функционалношћу, корисник може бити преварен да клијенту омогући приступ који може злоупотребити ваше податке. Они могу да уходе или чак делују без вашег пристанка. Сервер за ауторизацију осигурава да је клијент заиста такав какав изгледа својим корисницима.

Након што се идентитет верификује и одобрење одобрења прихвати, сервер за ауторизацију баца токен у клијентску апликацију. Замислите токен као комбинацију корисничког имена и лозинке који се серверу ресурса могу дати за приступ одређеном заштићеном ресурсу којем вам је власник ресурса дозволио приступ.

Коначно, помоћу овог токена апликација сада може да добије приступ потребним корисничким информацијама и другим ресурсима са сервера ресурса.

Приметите како се у целој овој размени стварно корисничко име и лозинка никада нису делили са клијентом? То је лепота ОАутх-а. Уместо да даје корисничко име и лозинке које би апликацији омогућиле сав приступ ресурсу, она уместо тога користи токене. А токен може добити само ограничен приступ ресурсу.

Опозив дозвола

Претпоставимо да изгубите приступ уређају у коме је била овлашћена клијентска апликација. Можете се пријавити на ГитХуб и отићи у Подешавања → Апликације → Овлашћене ОАутх апликације да бисте опозвали одобрење за одобрење и токен за приступ. И ја ћу радити исто, јер је на горњим снимцима екрана јавно одобрено одобрење.

Сада када имате птичји поглед на то како ОАутх 2.Овде можете прочитати више о одобрењима за ауторизацију и другим детаљнијим детаљима протокола и о начину обављања АПИ позива.

Игре Како се користи ГамеЦонкуерор Цхеат Енгине у Линуку
Како се користи ГамеЦонкуерор Цхеат Енгине у Линуку
Чланак покрива водич о коришћењу ГамеЦонкуерор варалице у Линуку. Многи корисници који играју игре на Виндовс-у често користе апликацију „Цхеат Енгине...
Игре Најбољи емулатори играће конзоле за Линук
Најбољи емулатори играће конзоле за Линук
Овај чланак ће навести популарни софтвер за емулацију играће конзоле доступан за Линук. Емулација је слој компатибилности софтвера који опонаша хардве...
Игре Најбољи Линук Дистрос за игре у 2021
Најбољи Линук Дистрос за игре у 2021
Линук оперативни систем далеко је превалио свој изворни, једноставни изглед заснован на серверима. Овај ОС се изузетно побољшао последњих година и сад...