OAuth คืออะไร (การอนุญาตเปิด)

OAuth คืออะไร (การอนุญาตเปิด)

ฉันได้รวบรวมข้อมูลบางอย่างจาก

• OAuth
• Twitter Tutorial: OAuth คืออะไรและมันมีความหมายกับคุณอย่างไร
• OAuth คืออะไร

แต่ฉันต้องการเรียนรู้และรู้เพิ่มเติม ฉันกำลังมองหาข้อมูลเกี่ยวกับวงจรชีวิต ทำไมเครือข่ายโซเชียลส่วนใหญ่จึงใช้โปรโตคอลเปิดนี้

มันจะกลายเป็นความจริงในอนาคตอันใกล้ด้วยเทคโนโลยีที่หลากหลาย (เช่น ASP.NET)?

OAuth คืออะไร (การอนุญาตเปิด)

OAuth อนุญาตให้แจ้งผู้ให้บริการทรัพยากร (เช่น Facebook) ว่าเจ้าของทรัพยากร (เช่นคุณ) ให้สิทธิ์แก่บุคคลที่สาม (เช่นแอปพลิเคชัน Facebook) ในการเข้าถึงข้อมูลของพวกเขา(เช่นรายชื่อเพื่อนของคุณ)

หากคุณอ่านอย่างชัดเจนว่าฉันจะเข้าใจความสับสนของคุณ ลองดูตัวอย่างที่เป็นรูปธรรม: เข้าร่วมเครือข่ายโซเชียลอื่น!

สมมติว่าคุณมีบัญชี GMail อยู่แล้ว คุณตัดสินใจเข้าร่วม LinkedIn การเพิ่มเพื่อนจำนวนมากของคุณทั้งหมดด้วยตนเองนั้นน่าเบื่อและข้อผิดพลาดง่าย คุณอาจเบื่อหน่ายครึ่งทางหรือใส่ตัวพิมพ์ผิดในที่อยู่อีเมลเพื่อรับคำเชิญ ดังนั้นคุณอาจถูกล่อลวงไม่ให้สร้างบัญชีหลังจากทั้งหมด

เมื่อเผชิญกับสถานการณ์นี้ LinkedIn มีความคิดที่ดี (TM) ในการเขียนโปรแกรมที่เพิ่มรายชื่อเพื่อนของคุณโดยอัตโนมัติเพราะคอมพิวเตอร์มีประสิทธิภาพและประสิทธิผลในการทำงานที่น่าเบื่อและผิดพลาด ตั้งแต่เข้าร่วมเครือข่ายเป็นเรื่องง่ายมากไม่มีทางที่คุณจะปฏิเสธข้อเสนอเช่นนี้ได้หรือไม่?

โดยไม่ต้อง API สำหรับการแลกเปลี่ยนรายชื่อผู้ติดต่อนี้คุณจะต้องให้ LinkedIn ชื่อผู้ใช้และรหัสผ่านไปยังบัญชี Gmail ของคุณจึงให้พวกเขามีอำนาจมากเกินไป

นี่คือที่มาของ OAuth หาก GMail ของคุณรองรับโปรโตคอล OAuth แล้ว LinkedIn สามารถขอให้คุณอนุญาตให้พวกเขาเข้าถึงรายชื่อผู้ติดต่อ GMail ของคุณได้

OAuth อนุญาตสำหรับ:

1. ระดับการเข้าถึงที่ต่างกัน: อ่านอย่างเดียว VS อ่าน - เขียน วิธีนี้ช่วยให้คุณสามารถให้สิทธิ์การเข้าถึงรายชื่อผู้ใช้ของคุณหรือการเข้าถึงแบบสองทิศทางเพื่อซิงโครไนซ์เพื่อน LinkedIn ใหม่ของคุณกับผู้ติดต่อ GMail ของคุณโดยอัตโนมัติ
2. เข้าถึงอย่างละเอียด: คุณสามารถตัดสินใจอนุญาตให้เข้าถึงเฉพาะข้อมูลการติดต่อของคุณ (ชื่อผู้ใช้อีเมลวันเดือนปีเกิด ฯลฯ ) หรือรายชื่อเพื่อนปฏิทินและสิ่งที่ไม่เกี่ยวข้องทั้งหมด
3. ช่วยให้คุณจัดการการเข้าถึงจากแอปพลิเคชันของผู้ให้บริการทรัพยากร หากแอปพลิเคชันของบุคคลที่สามไม่มีกลไกในการยกเลิกการเข้าถึงคุณจะติดอยู่กับพวกเขาที่มีการเข้าถึงข้อมูลของคุณ ด้วย OAuth มีข้อกำหนดสำหรับการเพิกถอนการเข้าถึงได้ตลอดเวลา

มันจะกลายเป็นพฤตินัย (มาตรฐานหรือไม่) ในอนาคตอันใกล้

ถึงแม้ว่า OAuth จะเป็นก้าวสำคัญไปข้างหน้า แต่ก็ไม่ได้แก้ปัญหาหากผู้ใช้ไม่ได้ใช้อย่างถูกต้อง ตัวอย่างเช่นหากผู้ให้บริการทรัพยากรให้ระดับการเข้าถึงการอ่าน - เขียนเพียงครั้งเดียวแก่ทรัพยากรทั้งหมดของคุณในครั้งเดียวและไม่ได้จัดเตรียมกลไกสำหรับการจัดการการเข้าถึงดังนั้นจึงไม่มีประโยชน์ กล่าวอีกนัยหนึ่ง OAuth เป็นกรอบการทำงานที่ให้สิทธิ์ในการทำงานไม่ใช่แค่การตรวจสอบสิทธิ์

ในทางปฏิบัติมันเหมาะกับโมเดลเครือข่ายสังคมเป็นอย่างดี เป็นที่นิยมอย่างยิ่งสำหรับเครือข่ายโซเชียลเหล่านั้นที่ต้องการอนุญาต "ปลั๊กอิน" ของบุคคลที่สาม นี่คือพื้นที่ที่จำเป็นต้องเข้าถึงทรัพยากรโดยเนื้อแท้และไม่น่าเชื่อถือโดยเนื้อแท้ (เช่นคุณมีการควบคุมคุณภาพน้อยกว่าหรือไม่มีเลยสำหรับแอพพลิเคชันเหล่านั้น)

ฉันไม่ได้เห็นการใช้อื่น ๆ มากมายในป่า ฉันหมายความว่าฉันไม่รู้ บริษัท ที่ให้คำปรึกษาทางการเงินออนไลน์ที่จะเข้าถึงบันทึกธนาคารของคุณโดยอัตโนมัติแม้ว่าจะสามารถใช้วิธีการทางเทคนิคได้

oAuth คืออะไร

OAuth เป็นเพียงโปรโตคอลการอนุญาตที่ปลอดภัยที่เกี่ยวข้องกับการอนุญาตของแอปพลิเคชันบุคคลที่สามเพื่อเข้าถึงข้อมูลผู้ใช้โดยไม่เปิดเผยรหัสผ่าน เช่น. (เข้าสู่ระบบด้วย fb, gPlus, twitter ในหลาย ๆ เว็บไซต์ .. ) ทั้งหมดทำงานภายใต้โปรโตคอลนี้

ฝ่ายที่เกี่ยวข้อง

พิธีสารจะง่ายขึ้นเมื่อคุณรู้จักผู้เกี่ยวข้อง โดยทั่วไปมีสามฝ่ายที่เกี่ยวข้อง: oAuth Provider, oAuth ลูกค้าและเจ้าของ

• oAuth Client (แอปพลิเคชันที่ต้องการเข้าถึงข้อมูลรับรองของคุณ)
• oAuth Provider (เช่น facebook, twitter ... )
• เจ้าของ (บุคคลที่มีบัญชี Facebook, twitter .. )

มันทำงานอย่างไร?

ฉันได้คาดการณ์สถานการณ์ที่เว็บไซต์ (stackoverflow) ต้องเพิ่มการเข้าสู่ระบบด้วยคุณสมบัติ Facebook ดังนั้น Facebook คือผู้ให้บริการของ oAuth และ stackoverflow เป็นลูกค้าของ oAuth

1. ขั้นตอนนี้จะกระทำโดยนักพัฒนาแอป ที่ facebook เริ่มต้น (ผู้ให้บริการ oAuth) ไม่มีความคิดเกี่ยวกับ stackoverflow (ไคลเอนต์ oAuth) เนื่องจากไม่มีลิงก์ระหว่างพวกเขา ดังนั้นขั้นตอนแรกคือการลงทะเบียน StackOverflow กับ Facebook เว็บไซต์นักพัฒนา สิ่งนี้ทำด้วยตนเองซึ่งนักพัฒนาซอฟต์แวร์จำเป็นต้องให้ข้อมูลแอพกับ Facebook เช่นชื่อแอปเว็บไซต์โลโก้ URL การเปลี่ยนเส้นทาง (สิ่งที่สำคัญ) แล้ว StackOverflow มีการลงทะเบียนเรียบร้อยแล้วได้มีลูกค้า Id ลูกค้าลับ ฯลฯ จาก Facebook และขึ้นอยู่และทำงานกับOAuth

   2. ตอนนี้เมื่อ StackOverflow ของผู้ใช้คลิกปุ่มเข้าสู่ระบบด้วย Stackoverflow ร้องขอ facebook โดยใช้ ClientId (fb ใช้เพื่อจดจำลูกค้า) และ redirectUrl (fb จะกลับไปที่ URL นี้หลังจากสำเร็จ) ดังนั้นผู้ใช้จะถูกเปลี่ยนเส้นทางไปยังหน้าเข้าสู่ระบบ Facebook นี่คือผู้ใช้ส่วนที่ดีที่สุด(เจ้าของ) ไม่ได้ให้ข้อมูลประจำตัว Facebook ของพวกเขาเพื่อ stackoverflow

3. หลังจากที่เจ้าของอนุญาตให้ Stackoverflow ในการเข้าถึงข้อมูล จากนั้น Facebook จะเปลี่ยนเส้นทางกลับไปที่ stackoverflow พร้อมกับรหัสอัตโนมัติโดยใช้ redirectUrl ที่ให้ไว้ในขั้นตอนที่ 2
4. รายชื่อแล้ว Stackoverflow ด้วย Facebook พร้อมกับได้รับAuthCodeเพื่อให้แน่ใจว่าทุกอย่างถูกต้อง
5. เฉพาะ Facebook เท่านั้นที่จะให้การเข้าถึงโทเค็นเพื่อ stackoverflow การเข้าถึงโทเค็นจะถูกใช้โดย stackoverflow เพื่อดึงข้อมูลเจ้าของโดยไม่ต้องใช้รหัสผ่าน นี่คือแรงจูงใจทั้งหมดของ oAuth ที่ผู้มีความเชื่อถือไม่เคยสัมผัสกับแอปพลิเคชันของบุคคลที่สาม

สำหรับข้อมูลเพิ่มเติม:

วิดีโอด่วน

เว็บลิงค์

เพียงแค่ใส่ OAuth เป็นวิธีสำหรับแอปพลิเคชันในการรับข้อมูลประจำตัวของคุณโดยไม่ต้องรับข้อมูลการเข้าสู่ระบบของผู้ใช้ไปยังบางเว็บไซต์โดยตรง ตัวอย่างเช่นถ้าคุณเขียนแอปพลิเคชันบนเว็บไซต์ของคุณเองและต้องการให้ใช้ข้อมูลจากบัญชี Facebook ของผู้ใช้คุณสามารถใช้ OAuth เพื่อรับโทเค็นผ่านทาง callback url จากนั้นใช้โทเค็นนั้นในการโทรไปยัง API API ใช้ข้อมูลจนกว่าโทเค็นจะหมดอายุ เว็บไซต์พึ่งพาเนื่องจากช่วยให้โปรแกรมเมอร์สามารถเข้าถึงข้อมูลได้โดยไม่ต้องให้ผู้ใช้เปิดเผยข้อมูลโดยตรงและเผยแพร่ข้อมูลประจำตัวของพวกเขาผ่านทางออนไลน์ แต่ยังคงให้การปกป้องข้อมูลในระดับหนึ่ง มันจะเป็นวิธีการอนุญาตโดยพฤตินัยหรือไม่ บางทีมันเพิ่งได้รับการสนับสนุนมากมายจาก Twitter, Facebook,

Oauth กำลังได้รับแรงผลักดันอย่างแน่นอนและได้รับความนิยมในองค์กร API เช่นกัน ในแอพและโลกขับเคลื่อนข้อมูลองค์กรกำลังเปิดเผย API มากขึ้นเรื่อย ๆ สู่โลกภายนอกซึ่งสอดคล้องกับ Google, Facebook, twitter ด้วยการพัฒนานี้จะมีการตรวจสอบความถูกต้องของสามเหลี่ยมสามทาง

1) ผู้ให้บริการ API - องค์กรใดก็ตามที่เปิดเผยสินทรัพย์ของตนด้วย API, พูดว่า Amazon, Target ฯลฯ 2) ผู้พัฒนา - ผู้สร้างแอปมือถือ / อื่น ๆ ผ่าน API นี้ 3) ผู้ใช้ปลายทาง - ผู้ใช้ปลายทางของบริการที่ให้บริการโดย - พูดว่าผู้ใช้ที่ลงทะเบียน / แขกของ Amazon

ตอนนี้สิ่งนี้จะพัฒนาสถานการณ์ที่เกี่ยวข้องกับความปลอดภัย - (ฉันกำลังแสดงรายการความซับซ้อนเหล่านี้อยู่เล็กน้อย) 1) คุณในฐานะผู้ใช้ปลายทางต้องการให้นักพัฒนาซอฟต์แวร์สามารถเข้าถึง API ในนามของคุณได้ 2) ผู้ให้บริการ API จะต้องรับรองความถูกต้องของผู้พัฒนาและผู้ใช้ปลายทาง 3) ผู้ใช้ควรจะสามารถให้สิทธิ์และเพิกถอนการอนุญาตตามความยินยอมที่ได้รับ 4) ผู้พัฒนาสามารถมีระดับความน่าเชื่อถือที่แตกต่างกันกับผู้ให้บริการ API ระดับของการอนุญาตที่มอบให้กับเธอนั้นแตกต่างกัน

Oauth เป็นกรอบการอนุญาตที่พยายามแก้ไขปัญหาที่กล่าวถึงข้างต้นด้วยวิธีมาตรฐาน ด้วยความโดดเด่นของ API และแอปปัญหานี้จะมีความเกี่ยวข้องมากขึ้นเรื่อย ๆ และมาตรฐานใด ๆ ที่พยายามแก้ไขไม่ว่าจะเป็น ouath หรืออื่น ๆ - จะเป็นสิ่งที่เราใส่ใจในฐานะผู้ให้บริการ / นักพัฒนา API และแม้แต่ผู้ใช้!

OAuth ( O pen Auth orization orization) เป็นมาตรฐานเปิดสำหรับโปรโตคอลการอนุญาต / การเข้าถึง มันใช้เป็นวิธีสำหรับผู้ใช้อินเทอร์เน็ตเพื่ออนุญาตให้เว็บไซต์หรือแอปพลิเคชันเข้าถึงข้อมูลของพวกเขาบนเว็บไซต์อื่น ๆ แต่ไม่ได้ให้รหัสผ่านแก่พวกเขา มันไม่ได้จัดการกับการตรวจสอบ

หรือ

OAuth 2.0เป็นโปรโตคอลที่อนุญาตให้ผู้ใช้ให้สิทธิ์การเข้าถึงทรัพยากรอย่าง จำกัด บนไซต์หนึ่งไปยังไซต์อื่นโดยไม่ต้องเปิดเผยข้อมูลประจำตัว

• คล้ายคลึง 1:รถหรูหลายคันในปัจจุบันมาพร้อมกับกุญแจรถ มันเป็นรหัสพิเศษที่คุณให้ผู้ดูแลที่จอดรถและไม่เหมือนกับกุญแจปกติของคุณจะไม่อนุญาตให้รถขับเกินกว่าหนึ่งหรือสองไมล์ กุญแจนำรถไปจอดบางส่วนจะไม่เปิดลำตัวในขณะที่บางคนจะปิดกั้นการเข้าถึงสมุดที่อยู่โทรศัพท์มือถือของคุณออนบอร์ด ความคิดนั้นฉลาดมากโดยไม่คำนึงถึงข้อ จำกัด ของกุญแจนำรถไปจอด คุณให้สิทธิ์การเข้าถึงรถยนต์โดยใช้รหัสพิเศษในขณะที่ใช้กุญแจปกติของคุณเพื่อปลดล็อคทุกสิ่ง src จาก auth0

• คล้ายคลึง 2:สมมติว่าเราต้องการกรอกแบบฟอร์มใบสมัครสำหรับบัญชีธนาคาร ที่นี่ Oauth ทำงานเป็นแทนการกรอกแบบฟอร์มโดยผู้สมัครธนาคารสามารถกรอกแบบฟอร์มโดยใช้ Adhaar หรือหนังสือเดินทาง

  ต่อไปนี้เป็นสามหน่วยงานที่เกี่ยวข้อง:

  1. ผู้สมัครเช่นเจ้าของ
  2. บัญชีธนาคารเป็นลูกค้า OAuth พวกเขาต้องการข้อมูล
  3. Adhaar / Passport ID คือผู้ให้บริการ OAuth

OAuth คือทั้งหมดที่เกี่ยวกับการมอบหมายการอนุญาต (การเลือกคนที่สามารถทำการอนุญาตให้คุณได้) โปรดทราบว่าการรับรองความถูกต้องและการอนุญาตนั้นแตกต่างกัน OAuth คือการอนุญาต (การควบคุมการเข้าถึง) และถ้าคุณต้องการใช้การพิสูจน์ตัวตน (การตรวจสอบ ID) ก็สามารถใช้โปรโตคอล OpenID ที่ด้านบนของ OAuth ได้

บริษัท ใหญ่ ๆ ทุกแห่งเช่น Facebook, Google, Github, ... ใช้การพิสูจน์ตัวตน / การอนุญาตประเภทนี้ทุกวันนี้ ตัวอย่างเช่นฉันเพิ่งลงชื่อเข้าใช้บนเว็บไซต์นี้โดยใช้บัญชี Google ของฉันซึ่งหมายความว่า Stackoverflow ไม่ทราบรหัสผ่านของฉันซึ่งจะได้รับค่าเผื่อจาก Google ที่บันทึกรหัสผ่านของฉัน (แฮชอย่างชัดเจน) สิ่งนี้ให้ประโยชน์มากมายอย่างหนึ่งคือ ในอนาคตอันใกล้คุณไม่จำเป็นต้องสร้างบัญชีหลายบัญชีในทุกเว็บไซต์ หนึ่งเว็บไซต์ (ที่คุณไว้วางใจมากที่สุด) สามารถใช้เพื่อเข้าสู่เว็บไซต์อื่น ๆ ทั้งหมด ดังนั้นคุณจะต้องจำรหัสผ่านเดียวเท่านั้น

OAuth เกิดขึ้นเมื่อเราลงทะเบียนบัญชี SO ด้วยปุ่ม Facebook / Google

1. แอปพลิเคชัน (SO) เปลี่ยนเส้นทางผู้ใช้ไปยัง URL การอนุญาตของผู้ให้บริการ (แสดงหน้าเว็บที่ถามผู้ใช้ว่าเขาหรือเธอต้องการอนุญาตให้แอปพลิเคชันเข้าถึงเพื่ออ่านและอัปเดตข้อมูลของพวกเขาหรือไม่)
2. ผู้ใช้ตกลงที่จะให้กระบวนการสมัคร
3. ผู้ให้บริการเปลี่ยนเส้นทางผู้ใช้กลับไปที่แอปพลิเคชัน (SO) ผ่านรหัสการอนุญาตเป็นพารามิเตอร์
4. ดังนั้นการแลกเปลี่ยนรหัสสำหรับสิทธิ์การเข้าถึง

ที่มา: ผู้ให้บริการ OAuth1

OAuth เป็นมาตรฐานแบบเปิดสำหรับการให้สิทธิ์ซึ่งมักใช้เป็นวิธีสำหรับผู้ใช้อินเทอร์เน็ตในการเข้าสู่เว็บไซต์บุคคลที่สามโดยใช้บัญชี Microsoft, Google, Facebook หรือ Twitter โดยไม่ต้องเปิดเผยรหัสผ่าน

OAuth เป็นโปรโตคอลที่ใช้จากเจ้าของทรัพยากร (facebook, google, tweeter, microsoft live และอื่น ๆ ) เพื่อให้ข้อมูลที่จำเป็นหรือเพื่อให้สิทธิ์ในการเขียนสำเร็จไปยังระบบของบุคคลที่สาม (เว็บไซต์ของคุณเป็นต้น) เป็นไปได้มากที่สุดหากไม่มีโปรโตคอล OAuth ข้อมูลรับรองควรมีอยู่สำหรับระบบส่วนที่สามซึ่งจะเป็นวิธีการสื่อสารที่ไม่เหมาะสมระหว่างระบบเหล่านั้น