Potrzeba integracji różnych systemów informatycznych to już od jakiegoś czasu standard. Jeden z problemów jaki może pojawić się po drodze to kwestia udzielania dostępu do zasobów oraz skalowalności tego rozwiązania. Podobne kwestie podnoszone są gdy zachodzi potrzebna udzielenia dostępu do systemu tylko w określonym zakresie. Jednym z zaproponowanych rozwiązań jest implementacja omawianego w tym artykule standardu OAuth 2.0.

Zagadnienia poruszane w tym artykule:

• Czym jest OAuth 2.0?
• Wykorzystywana terminologia;
• Zasada działania OAuth;
• Korzyści wynikające z wykorzystania OAuth;
• Krok w tył – czym OAuth nie jest;
• Pozostałe metody pozyskiwania tokenu;
• Implicit Grant;
• Resource owner credentials;
• Jaką metodę pozyskiwania tokenu wybrać?
• Co może pójść nie tak;
• Brak szyfrowanego kanału komunikacji;
• Serwer autoryzujący;
• Klient;
• Tokeny oraz kody dostępu;
• Consent screen;
• Aplikacje mobilne;
• Cookies;
• Brak izolacji;
• Złe nawyki;
• Własne URI;
• PKCE;
• Alternatywa dla WebViews oraz Custom URI;
• Aplikacje natywne;
• Różnice w stosunku do OAuth 1.0 oraz kontrowersje;
• Modelowanie zagrożeń.

Artykuł pochodzi z miesięcznika "Programista" nr 10/2016 (53). Jest to wydanie listopad/grudzień. Szczegółowy spis treści tego wydania: http://programistamag.pl/programista-10-2016-53

Autorem artykułu jest Marcin Piosek. Analityk bezpieczeństwa IT, realizuje audyty bezpieczeństwa oraz testy penetracyjne w firmie Securitum.

>>FRAGMENT ARTYKUŁU DO POBRANIA<<