Справочник по IT

Русский

Українська
English

Русский

Українська
English

Appearance

🛡️ OAuth 2 (Open Authorization 2.0): Стандарт авторизації для безпечного доступу

Що це?

OAuth 2 - це протокол авторизації, який дозволяє стороннім додаткам отримувати обмежений доступ до ресурсів користувача на іншому сервісі без розкриття облікових даних користувача (наприклад, логіна та пароля). Це фундаментальний стандарт для побудови безпечних інтеграцій між різними веб-сервісами та додатками.

Основні ролі в OAuth 2:

  • Resource Owner (Власник ресурсу): Користувач, чиї дані або ресурси потребує сторонній додаток (наприклад, ви).
  • Client (Клієнт): Сторонній додаток, який хоче отримати доступ до ресурсів власника ресурсу (наприклад, програма для редагування фотографій, яка хоче отримати доступ до ваших фотографій у хмарному сховищі).
  • Authorization Server (Сервер авторизації): Сервер, який видає токени доступу клієнту після успішної аутентифікації власника ресурсу та отримання його згоди.
  • Resource Server (Сервер ресурсів): Сервер, який зберігає ресурси власника ресурсу та перевіряє отримані токени доступу перед наданням доступу клієнту.

Основні концепції:

  • Токени доступу (Access Tokens): Рядки символів, які клієнт використовує для здійснення запитів до сервера ресурсів від імені власника ресурсу. Токени доступу зазвичай мають обмежений термін дії.
  • Токени оновлення (Refresh Tokens): Довгоживучі токени, які клієнт може використовувати для отримання нових токенів доступу без повторної взаємодії з власником ресурсу (за певних умов).
  • Сфери (Scopes): Визначають рівень доступу, який клієнт запитує до ресурсів власника ресурсу (наприклад, лише читання профілю, редагування фотографій). Власник ресурсу може надати або відхилити певні сфери доступу.
  • Гранти (Grants): Різні способи отримання токенів доступу, залежно від типу клієнта та сценарію використання.

Основні типи грантів (Grant Types):

  • Authorization Code Grant (Код авторизації): Найбільш безпечний та поширений тип гранту для веб-додатків. Включає перенаправлення користувача на сервер авторизації для надання згоди, а потім обмін отриманого коду авторизації на токен доступу.

    1. Клієнт перенаправляє користувача на сервер авторизації (/authorize endpoint) з ідентифікатором клієнта, URL перенаправлення, бажаними сферами та типом відповіді (code).
    2. Користувач аутентифікується на сервері авторизації та надає згоду клієнту на доступ до своїх ресурсів у межах запитаних сфер.
    3. Сервер авторизації перенаправляє користувача назад на вказаний клієнтом URL перенаправлення з кодом авторизації.
    4. Клієнт відправляє код авторизації, свій ідентифікатор та секрет (якщо є) на сервер авторизації (/token endpoint) для обміну на токен доступу та, можливо, токен оновлення.
    5. Сервер авторизації валідує код та облікові дані клієнта і повертає токени.
    6. Клієнт використовує токен доступу для здійснення запитів до сервера ресурсів (/api/users/me endpoint).

  • Implicit Grant (Неявний грант): (Зазвичай не рекомендується через безпекові міркування, особливо для додатків, що можуть використовувати Authorization Code Grant з PKCE) Використовувався для односторінкових додатків (SPA). Токен доступу повертається безпосередньо через URL-фрагмент після надання згоди.

  • Password Grant (Грант за паролем): Клієнт безпосередньо передає облікові дані користувача (логін та пароль) на сервер авторизації. Використовується рідко і лише для дуже довірених клієнтів (наприклад, власні мобільні додатки сервісу).

  • Client Credentials Grant (Грант за обліковими даними клієнта): Використовується для авторизації між серверами, коли клієнт діє від свого імені (не від імені користувача). Клієнт надає свій ідентифікатор та секрет безпосередньо на сервер авторизації для отримання токена доступу.

  • Refresh Token Grant (Грант за токеном оновлення): Клієнт використовує отриманий раніше токен оновлення для запиту нового токена доступу без повторної взаємодії з користувачем.

Переваги OAuth 2:

  • Безпека: Користувачі не розкривають свої облікові дані стороннім додаткам.
  • Обмежений доступ: Користувач може надавати клієнту лише певні права доступу (сфери).
  • Відкликання доступу: Користувач може в будь-який момент відкликати доступ, наданий клієнту.
  • Стандартизація: Широко прийнятий стандарт, що забезпечує сумісність між різними сервісами та додатками.
  • Делегування авторизації: Дозволяє одному сервісу отримувати доступ до ресурсів іншого сервісу від імені користувача.

Недоліки OAuth 2:

  • Складність: Реалізація може бути складнішою порівняно з простими методами аутентифікації (наприклад, API Keys).
  • Кілька кроків: Процес отримання токена доступу може включати кілька перенаправлень та обмінів.

Використання OAuth 2:

OAuth 2 є основою для багатьох сучасних веб- та мобільних додатків, включаючи:

  • "Увійти через Google", "Підключити до Facebook" та інші механізми соціального входу.
  • Дозволи для сторонніх додатків на доступ до даних користувача (наприклад, доступ програми для редагування фотографій до фотографій у хмарному сховищі).
  • Авторизація між мікросервісами.

Висновок:

OAuth 2 є потужним та безпечним стандартом авторизації, який дозволяє стороннім додаткам отримувати обмежений доступ до ресурсів користувача без розкриття їхніх облікових даних. Розуміння різних типів грантів та ролей в OAuth 2 є важливим для розробки безпечних та інтегрованих веб-сервісів та додатків.