REKLAMA

OAuth 2.0 – jak działa i co może pójść nie tak

Potrzeba integracji różnych systemów informatycznych to już od jakiegoś czasu standard. Jeden z problemów jaki może pojawić się po drodze to kwestia udzielania dostępu do zasobów oraz skalowalności tego rozwiązania. Podobne kwestie podnoszone są gdy zachodzi potrzebna udzielenia dostępu do systemu tylko w określonym zakresie. Jednym z zaproponowanych rozwiązań jest implementacja omawianego w tym artykule standardu OAuth 2.0.

Zagadnienia poruszane w tym artykule:

  • Czym jest OAuth 2.0?
  • Wykorzystywana terminologia;
  • Zasada działania OAuth;
  • Korzyści wynikające z wykorzystania OAuth;
  • Krok w tył – czym OAuth nie jest;
  • Pozostałe metody pozyskiwania tokenu;
  • Implicit Grant;
  • Resource owner credentials;
  • Jaką metodę pozyskiwania tokenu wybrać?
  • Co może pójść nie tak;
  • Brak szyfrowanego kanału komunikacji;
  • Serwer autoryzujący;
  • Klient;
  • Tokeny oraz kody dostępu;
  • Consent screen;
  • Aplikacje mobilne;
  • Cookies;
  • Brak izolacji;
  • Złe nawyki;
  • Własne URI;
  • PKCE;
  • Alternatywa dla WebViews oraz Custom URI;
  • Aplikacje natywne;
  • Różnice w stosunku do OAuth 1.0 oraz kontrowersje;
  • Modelowanie zagrożeń.

Artykuł pochodzi z miesięcznika "Programista" nr 10/2016 (53). Jest to wydanie listopad/grudzień. Szczegółowy spis treści tego wydania: http://programistamag.pl/programista-10-2016-53

Autorem artykułu jest Marcin Piosek. Analityk bezpieczeństwa IT, realizuje audyty bezpieczeństwa oraz testy penetracyjne w firmie Securitum.

>>FRAGMENT ARTYKUŁU DO POBRANIA<<

oauth1