CC BY
17УДК 004
Юрина Е.С.
магистр направления бизнес-аналитика, Ульяновский государственный университет (Россия,
г. Ульяновск)
АВТОРИЗАЦИЯ В ВЕБ-ПРИЛОЖЕНИИ ПО ПРОТОКОЛУ OAUTH 2.0
Аннотация: в статье рассматривается протокол авторизации OAuth 2.0, основные виды авторизации по протоколу, особенности и преимущества использования протокола OAuth 2.0, как метода авторизации в веб-приложении.
Ключевые слова: авторизация в веб-приложении, протокол OAuth 2.0, диаграмма UML.
В настоящее время существует много различных способов авторизации для веб-приложений, включая аутентификацию по паролю, по сертификатам, по одноразовым паролям, по ключам доступа и по токенам. Рассмотрим метод авторизации в веб-приложении по протоколу OAuth 2.0.
OAuth — открытый протокол авторизации, который позволяет предоставить третьей стороне ограниченный доступ к защищённым ресурсам пользователя без необходимости передавать ей (третьей стороне) логин и пароль. [1]
OAuth является протоколом авторизации[2], который позволяет предоставить права на использование какого-то ресурса (например, API какого-либо сервиса). Наличие прав определяется токеном (уникальным идентификатором), который может быть одним и тем же для разных пользователей, или же у одного пользователя в разное время могут быть разные токены. Предоставление прав происходит в обмен на предоставление токена. В общем случае нельзя определить, кому принадлежит токен и кто в настоящий момент пользуется правами.
Существует две версии данного протокола. Версия OAuth 1.0 была утверждена 4 декабря 2007 года. Как последующее развитие в 2010 году появился протокол OAuth 2.0. Ключевое отличие OAuth 2.0 от OAuth 1.0 — простота. В новой версии нет громоздких схем подписи, сокращено количество запросов, необходимых для авторизации. Рассмотрим основные роли протокола OAuth 2.0:
1. Владелец ресурса
Сущность, способная предоставить доступ к защищенному ресурсу.
2. Сервер ресурса
Сервер, на котором размещены защищенные данные. Способен принимать запросы защищенных ресурсов и отвечать на них, используя токены доступа.
3. Клиент
Приложение, защищающее запросы на ресурсы от имени владельца ресурса.
4. Сервер авторизации
Сервер, выдающий токены доступа клиенту после успешной аутентификации владельца ресурса и получения разрешения.
Рис. 1 Схема протокола OAuth 2.0
Протокол ОАиШ 2.0 очень распространен и применяется в различных веб-приложениях, например многие игры часто запрашивают данные пользователей, предлагая либо зарегистрироваться в самом приложении и заполнить анкету пользователя, либо дать приложению доступ к необходимым данным, которые точно хранятся в социальной сети. Таким образом, пользователь освобождается от регистрации в веб приложении и заполнении анкеты, как раз от тех действий, которые так не любят пользователи.
Используя протокол ОАиШ 2.0 вэб-приложение освобождает пользователя от лишних действий повышая те самым количество посещений и лояльность клиентов.
Список литературы:
1. D. Hardt, Ed. The OAuth 2.0 Authorization Framework. Introduction (англ.). Internet Engineering Task Force (October 2018).
2. Chen E. Y., Pei Y., Chen S. et al. OAuth Demystified for Mobile Application Developers // Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security — New York City: ACM, 2014. — P. 892-903. — ISBN 978-1-4503-2957-6
3. D. Hardt. The OAuth 2.0 Authorization Framework: Bearer Token Usage draft-ietf-oauth-v2-bearer-23. Appendix B. Document History (англ.) (October 2018).
