OAuth

OAuth — үшінші тарапқа пайдаланушы логині мен құпия сөзін беру қажеттілігінсіз пайдаланушының қорғалған ресурстарға шектеулі қол жеткізу мүмкіндік беруді қамтамасыз ететін ашық авторлау хаттамасы. Мысалы, сіздің Facebook-аккаунтыңыздағы фотосуреттерді онлайн фото басып шығару қызметімен бөлісу үшін пайдаланушыға осы қызметке аккаунттың паролін жария етпеуге тиіс, бұл шара OAuth хаттамасы қамтамасыз етеді. Оның орнына, пайдаланушы тікелей Facebook авторлауды өтіп, ол фотосуреттерді онлайн басып шығару қызметіне суреттерге қол жеткізу рұқсаттарын береді (пайдаланушының немесе қызмет әкімшісінің рұқсатымен)[1].

OAuth-авторландыру артықшылықтары өңдеу

Пайдаланушы OAuth-авторлауды пайдаланған кезде тікелей бағдарламаға қорғалған ресурстарға өзінің логині мен паролін жібермейді. Сондықтан:

Пайдаланушы өзінің жеке деректеріне рұқсатсыз кіру мүмкін емес екеніне сенімді бола алатын сенім артуына көп себеп бар. Пайдаланушының логині мен паролін иеленбей-ақ, бағдарлама тек пайдаланушы рұқсат беретін деректермен және әрекеттерді орындауға қабілетті басқа ешқандай әрекет жасай алмайды.
Қосымшаны дамыту кезінде пайдаланушы аты мен құпия сөздің құпиялылылығы туралы еш алаңдаудың қажеті жоқ. Пайдаланушы аты мен құпиясөзді қолданушыға бермейді, демек, құпия мәліметтер қаскөйлер қолына түсе алмайды.

OAuth протоколын қолданбай авторлау жасаған жағдайда, пайдаланушы логині мен паролін беруі қажет. Бұл әдістің де қосымша кемшіліктері бар:

Пайдаланушы құпия сөзін өзгерткен кезде, бағдарлама қорғалған ресурстарға қол жеткізе алмайды.
Ресурстар мен бұрын оны иеленген басқа қосымшалар үшін қол жеткізуге тыйым салу үшін тек құпия сөзді өзгерту керек - бұл осы уақытта қорғалатын ресурстарға қол жеткізуді тежеудің жалғыз жолы.
Қорғалған ресурстарды сақтайтын және оларға қол жеткізу үшін АPI-мен қамтамасыз ету қызметтер үшін, мұндай пайдаланушылар өздерінің аккаунтарының құпия сөзі болмауына мүмкіндік беретін OpenID немесе SAML федеративті аутентификация тетіктерін пайдалануы мүмкін (ағылш. Federated Authentication). Бұл пайдаланушыларға API арқылы қорғалған ресурстарына қол жеткізуге сұрау салушы қосымшасын пайдалануға мүмкіндік бермейді.

Талқылау өңдеу

2012 жылдың шілде айында, ағымдағы OAuth 2.0 стандарты редакторы, Эран Хаммер (Eran Hammer), жаңа стандарт бойынша жұмыс жасаған үш жылдан кейін отставкаға кетті, және ерекшеліктерден оның атын өшіріп тастауды сұрады. Өз веб-сайтында көзқарастары туралы айтып берді^[1] және кейінірек баяндама жасады^[2]. Сондай-ақ, кейінірек Девид Рекордон да (ағылш. David Recordon) себептерін түсіндірместен сипаттамалардан өз атын өшіріп тастады^[3]. Дик Хардт (Dick Hardt) OAuth 2.0 стандартының редакторы болды, және Эран Хаммердің пікіріне қарамастан OAuth 2.0 құрылымы RFC 6749-де, 2012 жылы жарық көрді^[4].

Тағы қараңыз өңдеу

OpenID
HTTP
TLS
SHA1
HMAC

Дереккөздер өңдеу

↑ Eran Hammer OAuth 2.0 and the Road to Hell (ағыл.). hueniverse. Тексерілді, 30 қазан 2015.
↑ Eran Hammer OAuth 2.0 - Looking Back and Moving On (ағыл.). hueniverse. Тексерілді, 30 қазан 2015.
↑ D. Hardt The OAuth 2.0 Authorization Framework: Bearer Token Usage draft-ietf-oauth-v2-bearer-23 (ағыл.) (1 August 2012). Тексерілді, 30 қазан 2015.
↑ D. Hardt, Ed. The OAuth 2.0 Authorization Framework (ағыл.). Internet Engineering Task Force (қазан 2012). Тексерілді, 30 қазан 2015.

[1] Eran Hammer OAuth 2.0 and the Road to Hell (ағыл.). hueniverse. Тексерілді, 30 қазан 2015.

[2] Eran Hammer OAuth 2.0 - Looking Back and Moving On (ағыл.). hueniverse. Тексерілді, 30 қазан 2015.

[3] D. Hardt The OAuth 2.0 Authorization Framework: Bearer Token Usage draft-ietf-oauth-v2-bearer-23 (ағыл.) (1 August 2012). Тексерілді, 30 қазан 2015.

[rfc6749-4] D. Hardt, Ed. The OAuth 2.0 Authorization Framework (ағыл.). Internet Engineering Task Force (қазан 2012). Тексерілді, 30 қазан 2015.

[1]

[2]

[3]

[4]