OAuth - OAuth

Логотип OAuth, разработанный американским блогером Крис Мессина

OAuth является открытый стандарт для доступа делегация, обычно используется как способ для пользователей Интернета предоставлять веб-сайтам или приложениям доступ к своей информации на других веб-сайтах, но без предоставления им паролей.[1] Этот механизм используют такие компании, как Amazon,[2] Google, Facebook, Microsoft и Twitter чтобы пользователи могли обмениваться информацией о своих учетных записях со сторонними приложениями или веб-сайтами.

Как правило, OAuth предоставляет клиентам «безопасный делегированный доступ» к ресурсам сервера от имени владельца ресурса. Он определяет процесс, позволяющий владельцам ресурсов разрешать доступ третьих лиц к ресурсам своего сервера без предоставления их учетных данных. Разработан специально для работы с Протокол передачи гипертекста (HTTP), OAuth позволяет токены доступа будет выдаваться сторонним клиентам сервером авторизации с одобрения владельца ресурса. Затем третья сторона использует токен доступа для доступа к защищенным ресурсам, размещенным на сервере ресурсов.[3]

OAuth - это услуга, дополняющая и отличная от OpenID. OAuth не имеет отношения к КЛЯТВА, что является эталонная архитектура за аутентификация, а не стандарт за разрешение. Однако OAuth напрямую связан с OpenID Connect (OIDC), поскольку OIDC - это уровень аутентификации, построенный на основе OAuth 2.0. OAuth также не имеет отношения к XACML, который является стандартом политики авторизации. OAuth можно использовать вместе с XACML, где OAuth используется для согласия владения и делегирования доступа, тогда как XACML используется для определения политик авторизации (например, менеджеры могут просматривать документы в своем регионе).

История

OAuth был запущен в ноябре 2006 г., когда Блейн Кук разрабатывал Twitter OpenID выполнение. Тем временем, Ma.gnolia требовалось решение, позволяющее его членам с OpenID авторизовать Виджеты приборной панели чтобы получить доступ к их сервису. Повар, Крис Мессина и Ларри Халф из Магнолии встретились с Дэвид Рекордон обсудить использование OpenID с Twitter и Magnolia API делегировать аутентификацию. Они пришли к выводу, что открытых стандартов для делегирования доступа к API не существует.[4]

OAuth дискуссионная группа был создан в апреле 2007 года для небольшой группы разработчиков, чтобы написать проект предложения по открытому протоколу. ДеВитт Клинтон из Google узнал о проекте OAuth и выразил заинтересованность в поддержке его усилий. В июле 2007 года команда разработала первоначальную спецификацию. Эран Хаммер присоединился и координировал многие работы по OAuth, создав более формальную спецификацию. 4 декабря 2007 г. был выпущен окончательный проект OAuth Core 1.0.[5]

На 73-й Инженерная группа Интернета (IETF) встреча в Миннеаполис в ноябре 2008 года OAuth BoF был проведен для обсуждения внесения протокола в IETF для дальнейшей работы по стандартизации. На мероприятии присутствовало много людей, и было широко поддержано официальное учреждение рабочей группы OAuth в рамках IETF.

Протокол OAuth 1.0 был опубликован как RFC 5849, информационный Запрос комментариев, в апреле 2010 г.

С 31 августа 2010 года все сторонние приложения Twitter должны использовать OAuth.[6]

Платформа OAuth 2.0 была опубликована как RFC 6749, а также использование токена на предъявителя как RFC 6750, оба стандарта отслеживают Запросы на комментарии, в октябре 2012 г.

OAuth 2.0

OAuth 2.0 не имеет обратной совместимости с OAuth 1.0. OAuth 2.0 обеспечивает определенные потоки авторизации для веб-приложений, настольных приложений, мобильных телефонов и умные устройства. Спецификация и связанные с ней RFC разрабатываются рабочей группой IETF OAuth;[7] основная структура была опубликована в октябре 2012 года.

Facebook с Graph API поддерживает только OAuth 2.0.[8] Google поддерживает OAuth 2.0 в качестве рекомендуемого механизма авторизации для всех API.[9] Microsoft также поддерживает OAuth 2.0 для различных API и свою службу Azure Active Directory,[10] который используется для защиты многих API Microsoft и сторонних производителей.

Платформа OAuth 2.0[11] и использование токена на предъявителя[12] были опубликованы в октябре 2012 года.

Платформа авторизации OAuth 2.1 находится на стадии разработки.[13].

Безопасность

OAuth 1.0

23 апреля 2009 г. фиксация сеанса Было объявлено о недостатке безопасности в протоколе 1.0. Это влияет на процесс авторизации OAuth (также известный как «трехсторонний OAuth») в разделе 6 OAuth Core 1.0.[14]Версия 1.0a протокола OAuth Core была выпущена для решения этой проблемы.[15]

OAuth 2.0

В январе 2013 года Инженерная группа Интернета опубликовала модель угроз для OAuth 2.0.[16] Среди перечисленных угроз одна называется «Open Redirector»; Весной 2014 года Ван Цзин описал вариант этого под названием «Скрытое перенаправление».[17][18][19][20]

OAuth 2.0 был проанализирован с использованием формального анализа веб-протокола. Этот анализ показал, что в настройках с несколькими серверами авторизации, один из которых ведет себя злонамеренно, клиенты могут запутаться в том, какой сервер авторизации использовать, и могут пересылать секреты на злонамеренный сервер авторизации (AS Mix-Up Attack).[21] Это побудило к созданию нового лучшая текущая практика Интернет-проект, который устанавливает новый стандарт безопасности для OAuth 2.0.[22] При условии исправления атаки AS Mix-Up Attack безопасность OAuth 2.0 была доказана с использованием моделей сильного злоумышленника с использованием формального анализа.[21]

Обнаружена одна реализация OAuth 2.0 с многочисленными недостатками безопасности.[23]

В апреле – мае 2017 г. около миллиона пользователей Gmail (менее 0,1% пользователей по состоянию на май 2017 г.) подверглись фишинговой атаке на основе OAuth, получив электронное письмо от коллеги, работодателя или друга, желающего опубликовать документ в Документах Google.[24] Те, кто щелкнул ссылку в электронном письме, получили указание войти в систему и позволить потенциально вредоносной сторонней программе под названием «Google Apps» получить доступ к их «учетной записи электронной почты, контактам и онлайн-документам».[24] В течение «примерно одного часа»[24] фишинговую атаку остановил Google, посоветовав тем, кто предоставил "Google Apps" доступ к своей электронной почте, отозвать такой доступ и изменить свои пароли.

Использует

OAuth можно использовать как механизм авторизации для использования защищенных RSS /АТОМ кормит. Использование каналов RSS / ATOM, требующих аутентификации, всегда было проблемой. Например, RSS-канал с защищенного Сайт Google не мог быть потреблен с помощью Google Reader. Вместо этого был бы использован трехсторонний протокол OAuth для авторизации этого RSS-клиента для доступа к каналу с сайта Google. Его также можно использовать как средство для входа в систему без создания учетной записи на каком-либо сайте, а также все преимущества хоста Система OAuth.

OAuth и другие стандарты

OpenID против псевдо-аутентификации с использованием OAuth

OAuth - это разрешение протокол, а не аутентификация протокол. Использование OAuth отдельно в качестве метода аутентификации может называться псевдо-аутентификацией.[нужна цитата ] На следующих диаграммах показаны различия между использованием OpenID (специально разработанный как протокол аутентификации) и OAuth для авторизации.

Коммуникационный поток в обоих процессах похож:

  1. (Не изображено) Пользователь запрашивает доступ к ресурсу или сайту из приложения.
  2. Сайт видит, что пользователь не аутентифицирован. Он формулирует запрос для поставщика удостоверений, кодирует его и отправляет пользователю как часть URL-адреса перенаправления.
  3. Браузер пользователя запрашивает URL-адрес перенаправления для поставщика удостоверений, включая запрос приложения.
  4. При необходимости провайдер идентификации аутентифицирует пользователя (возможно, запрашивая его имя пользователя и пароль).
  5. Как только провайдер удостоверений убедится, что пользователь достаточно аутентифицирован, он обрабатывает запрос приложения, формулирует ответ и отправляет его обратно пользователю вместе с URL-адресом перенаправления обратно в приложение.
  6. Браузер пользователя запрашивает URL-адрес перенаправления, который возвращается в приложение, включая ответ поставщика удостоверений.
  7. Приложение декодирует ответ поставщика удостоверений и, соответственно, продолжает работу.
  8. (Только OAuth) Ответ включает маркер доступа, который приложение может использовать для получения прямого доступа к службам поставщика удостоверений от имени пользователя.

Ключевое отличие состоит в том, что в OpenID аутентификация вариант использования, ответ от поставщика удостоверений является подтверждением личности; в то время как в OAuth разрешение вариант использования, поставщик удостоверений также является API поставщик, а ответ поставщика удостоверений - это маркер доступа, который может предоставлять приложению постоянный доступ к некоторым API поставщика удостоверений от имени пользователя. Маркер доступа действует как своего рода «служебный ключ», который приложение может включать в свои запросы к провайдеру идентификации, которые подтверждают, что у него есть разрешение от пользователя на доступ к ним. API.

Поскольку поставщик удостоверений обычно (но не всегда) аутентифицирует пользователя как часть процесса предоставления токена доступа OAuth, возникает соблазн рассматривать успешный запрос токена доступа OAuth как сам метод аутентификации. Однако, поскольку OAuth не был разработан с учетом этого варианта использования, такое предположение может привести к серьезным недостаткам безопасности.[25]

OpenID против псевдо-аутентификации с использованием OAuth

OAuth и XACML

XACML основывается на политике, управление доступом на основе атрибутов структура авторизации. Это обеспечивает:

  • An архитектура контроля доступа.
  • Язык политик, с помощью которого можно выразить широкий спектр политик управления доступом, включая политики, которые могут использовать согласие, обрабатываемое / определяемое через OAuth.
  • Схема запрос / ответ для отправки и получения запросов авторизации.

XACML и OAuth можно комбинировать вместе для обеспечения более комплексного подхода к авторизации. OAuth не предоставляет язык политик для определения политик управления доступом. XACML может использоваться в качестве языка политики.

Там, где OAuth фокусируется на делегированном доступе (я, пользователь, предоставляю Twitter доступ к моей стене Facebook) и авторизации, ориентированной на идентификацию, XACML использует подход на основе атрибутов, который может учитывать атрибуты пользователя, действия, ресурса и контекст (кто, что, где, когда, как). С помощью XACML можно определять такие политики, как

  • Менеджеры могут просматривать документы в своем отделе
  • Менеджеры могут редактировать принадлежащие им документы в черновом режиме.

XACML обеспечивает более детальный контроль доступа, чем OAuth. Уровень детализации OAuth ограничен грубыми функциями (областями), предоставляемыми целевой службой. В результате часто имеет смысл объединить OAuth и XACML вместе, где OAuth предоставит вариант использования делегированного доступа и управление согласием, а XACML предоставит политики авторизации, которые работают с приложениями, процессами и данными.

Наконец, XACML может прозрачно работать с несколькими стеками (API, веб-SSO, ESB, собственные приложения, базы данных ...). OAuth ориентирован исключительно на приложения на основе HTTP.

Полемика

Эран Хаммер ушел с должности ведущего автора проекта OAuth 2.0, отказался от Рабочая группа IETF, и удалил свое имя из спецификации в июле 2012 года. Хаммер назвал конфликт между корпоративной культурой и сетью в качестве причины своего ухода, отметив, что IETF - это сообщество, которое «занимается корпоративными сценариями использования» и «не способно к простому». «Сейчас предлагается проект протокола авторизации, - отметил он, - это корпоративный подход», обеспечивающий «совершенно новый рубеж для продажи консалтинговых услуг и интеграционных решений».[26]

Сравнивая OAuth 2.0 с OAuth 1.0, Хаммер отмечает, что он стал «более сложным, менее совместимым, менее полезным, более неполным и, что наиболее важно, менее безопасным». Он объясняет, как архитектурные изменения для несвязанных токенов 2.0 от клиентов, удалены все подписи и криптография на уровне протокола и добавлены истекающие токены (потому что токены не могут быть отозваны), усложняя обработку авторизации. Многочисленные элементы были оставлены неуказанными или неограниченными в спецификации, потому что «в соответствии с характером этой рабочей группы, ни одна проблема не является слишком мелкой, чтобы на ней застрять или оставить открытой для решения каждой реализации».[26]

Дэвид Рекордон позже также удалил свое имя из спецификаций по неустановленным причинам. Дик Хардт взял на себя роль редактора, и в октябре 2012 года структура была опубликована.[11]

Смотрите также

Рекомендации

  1. ^ Уитсон, Гордон. «Понимание OAuth: что происходит, когда вы заходите на сайт с помощью Google, Twitter или Facebook». Лайфхакер. В архиве из оригинала 24 апреля 2014 г.. Получено 15 мая 2016.
  2. ^ «Amazon и OAuth 2.0». В архиве из оригинала 8 декабря 2017 г.. Получено 15 декабря 2017.
  3. ^ «RFC 6749 - Структура авторизации OAuth 2.0». В архиве из оригинала 14 мая 2016 г.. Получено 15 мая 2016.
  4. ^ "Вступление". oauth.net. В архиве из оригинала 21 ноября 2018 г.. Получено 21 ноября 2018.
  5. ^ «OAuth Core 1.0». 4 декабря 2007 г. В архиве из оригинала 25 ноября 2015 г.. Получено 16 октября 2014.
  6. ^ Крис Крам (31 августа 2010 г.). «Приложения Twitter переходят на OAuth сегодня». WebProNews.com. В архиве из оригинала 31 июля 2017 г.. Получено 31 июля 2017.
  7. ^ "Протокол веб-авторизации (oauth)". Инженерная группа Интернета. В архиве из оригинала 2 июля 2014 г.. Получено 8 мая 2013.
  8. ^ «Аутентификация - разработчики Facebook». Facebook для разработчиков. В архиве из оригинала 23 января 2014 г.. Получено 5 января 2020.
  9. ^ «Использование OAuth 2.0 для доступа к API Google | Платформа идентификации Google». Разработчики Google. В архиве из оригинала на 4 января 2020 г.. Получено 4 января 2020.
  10. ^ «Протоколы v2.0 - поток кода авторизации OAuth 2.0». Документы Microsoft. В архиве из оригинала 29 июня 2020 г.. Получено 29 июн 2020.
  11. ^ а б Хардт, Дик (октябрь 2012 г.). «RFC6749 - платформа авторизации OAuth 2.0». Инженерная группа Интернета. В архиве из оригинала 15 октября 2012 г.. Получено 10 октября 2012.
  12. ^ Джонс, Майкл; Хардт, Дик (октябрь 2012 г.). «RFC6750 - Структура авторизации OAuth 2.0: использование токена-носителя». Инженерная группа Интернета. В архиве из оригинала 15 октября 2012 г.. Получено 10 октября 2012.
  13. ^ Лоддерстедт, Торстен; Хардт, Дик; Пареки, Аарон. «Платформа авторизации OAuth 2.1». tools.ietf.org. Получено 22 ноября 2020.
  14. ^ «Рекомендации по безопасности OAuth: 2009.1». oauth.net. 23 апреля 2009 г. В архиве из оригинала 27 мая 2016 г.. Получено 23 апреля 2009.
  15. ^ «OAuth Core 1.0a». oauth.net. В архиве с оригинала 30 июня 2009 г.. Получено 17 июля 2009.
  16. ^ Лоддерстедт, Торстен; Макглойн, Марк; Хант, Фил (январь 2013 г.). «RFC6819 - модель угроз OAuth 2.0 и соображения безопасности». Инженерная группа Интернета. В архиве с оригинала 30 июня 2020 г.. Получено 29 июн 2020.[RFC: 6819 Модель угроз OAuth 2.0 и соображения безопасности]. Инженерная группа Интернета. По состоянию на январь 2015 г.
  17. ^ «Рекомендации по безопасности OAuth: 2014.1» Скрытое перенаправление"". oauth.net. 4 мая 2014. В архиве из оригинала 21 ноября 2015 г.. Получено 10 ноября 2014.
  18. ^ «Обнаружен серьезный недостаток безопасности в OAuth, OpenID». CNET. 2 мая 2014. В архиве из оригинала 2 ноября 2015 г.. Получено 10 ноября 2014.
  19. ^ «Студент-математик обнаруживает уязвимость безопасности OAuth, OpenID». Phys.org. 3 мая 2014 г. В архиве из оригинала от 6 ноября 2015 г.. Получено 11 ноября 2014.
  20. ^ «Скрытое перенаправление». Тетраф. 1 мая 2014 г. В архиве из оригинала 10 марта 2016 г.. Получено 10 ноября 2014.
  21. ^ а б Фетт, Дэниел; Кюстерс, Ральф; Шмитц, Гвидо (2016). «Комплексный формальный анализ безопасности OAuth 2.0». Материалы конференции ACM SIGSAC по компьютерной и коммуникационной безопасности 2016 года - CCS'16. Нью-Йорк, Нью-Йорк, США: ACM Press: 1204–1215. arXiv:1601.01229. Bibcode:2016arXiv160101229F. Дои:10.1145/2976749.2978385. ISBN  9781450341394. S2CID  1723789.
  22. ^ Брэдли, Джон; Лабунец Андрей; Лоддерстедт, Торстен; Фетт, Дэниел. «Лучшие современные методы обеспечения безопасности OAuth 2.0». Инженерная группа Интернета. В архиве из оригинала 17 января 2020 г.. Получено 29 июля 2019.
  23. ^ «Взлом Facebook с помощью OAuth 2.0 и Chrome». 12 февраля 2013 г. В архиве из оригинала 23 апреля 2016 г.. Получено 6 марта 2013.
  24. ^ а б c "Фишинговая электронная почта Google Документов" обошлась Миннесоте в 90 000 долларов.'". Новости BBC. 8 мая 2017. В архиве с оригинала 30 июня 2020 г.. Получено 29 июн 2020.
  25. ^ «Аутентификация конечного пользователя с помощью OAuth 2.0». oauth.net. В архиве из оригинала 19 ноября 2015 г.. Получено 8 марта 2016.
  26. ^ а б Хаммер, Эран (28 июля 2012 г.). «OAuth 2.0 и дорога в ад». Hueniverse. Архивировано из оригинал 25 марта 2013 г.. Получено 17 января 2018.

внешняя ссылка