ݺߣ

ݺߣShare a Scribd company logo

Обзор протокола OAuth 2.0. Способы внедрения в различные типы приложений

Vitebsk Miniq
Vitebsk Miniq

Презентация подготовлена по материалам выступления Максима Дадеркина на Vitebsk MiniQ #1 “Организация аутентифицированного доступа к web-приложениям и REST – средства, методы и протоколы” (29.01.2014).

1 of 14
Downloaded 19 times
By Maksim Dadzerkin
OAuth – протокол авторизации. Он позволяет выдать одному сервису/приложению права на доступ к ресурсам пользователя на другом сервисе. Протокол избавляет от необходимости доверять приложению логин и пароль, а также позволяет выдавать ограниченный набор прав (например, только на чтение ограниченного набора ресурсов).
OAuth 2.0 основан на использовании базовых веб-технологий (HTTP). Использование возможно: WEB-сайты Мобильные приложения Desktop приложения и т.п.
Facebook Google Yandex LinkedIn VK И др.
Виды авторизаций:  с помощью логина и пароля  для приложений с серверной частью  для полностью клиентских приложений  с возможностью восстановления предыдущей авторизации
Client ID Secret Key (Shared Secret Key) Authorization Grants Access Token Refresh Token
 Resource Owner – владелец ресурса  Resource Server – сервер, который содержит защищаемые ресурсы. Сервер поддерживает функции по предоставлению ресурсов по access token  Client – приложение, делающее запросы к защищенным ресурсам от имени владельца этих ресурсов и с его разрешения  Authorization Server – выдает access tokens клиенту после успешной аутентификации владельца ресурсов и получения разрешений.
Client Resource Owner Authorization Server Resource Server Authorization Request Authorization Grant Authorization Grant Access Token Access Token Protected Resource
Client Authorization Server Resource Server Authorization Grant Access Token & Refresh Token Refresh Token Access Token & Optional Refresh Token Access Token Protected Resource Access Token Invaid Token Error
Java:  Apache Amber (draft 22)  Spring Security for OAuth  Apis Authorization Server (v2-31)  Restlet Framework (draft 30)  Apache CXF .NET:  .NET DotNetOpenAuth
Java:  Apache Amber (draft 22)  Spring Social  Spring Security for OAuth  Restlet Framework (draft 30) .NET:  DotNetOpenAuth  Spring Social for .NET
Авторизация без использования логина и пароля пользователя предоставляет множество преимуществ: Безопасность. Повышение лояльности пользователей. Удобство для пользователей.
В реализации OAuth 2.0 можно выделить следующие отрицательные моменты: Взаимодействие Ограниченный срок действия маркеров
Вопросы?

More Related Content

Обзор протокола OAuth 2.0. Способы внедрения в различные типы приложений

  • 2. OAuth – протокол авторизации. Он позволяет выдать одному сервису/приложению права на доступ к ресурсам пользователя на другом сервисе. Протокол избавляет от необходимости доверять приложению логин и пароль, а также позволяет выдавать ограниченный набор прав (например, только на чтение ограниченного набора ресурсов).
  • 3. OAuth 2.0 основан на использовании базовых веб-технологий (HTTP). Использование возможно: WEB-сайты Мобильные приложения Desktop приложения и т.п.
  • 5. Виды авторизаций:  с помощью логина и пароля  для приложений с серверной частью  для полностью клиентских приложений  с возможностью восстановления предыдущей авторизации
  • 6. Client ID Secret Key (Shared Secret Key) Authorization Grants Access Token Refresh Token
  • 7.  Resource Owner – владелец ресурса  Resource Server – сервер, который содержит защищаемые ресурсы. Сервер поддерживает функции по предоставлению ресурсов по access token  Client – приложение, делающее запросы к защищенным ресурсам от имени владельца этих ресурсов и с его разрешения  Authorization Server – выдает access tokens клиенту после успешной аутентификации владельца ресурсов и получения разрешений.
  • 9. Client Authorization Server Resource Server Authorization Grant Access Token & Refresh Token Refresh Token Access Token & Optional Refresh Token Access Token Protected Resource Access Token Invaid Token Error
  • 10. Java:  Apache Amber (draft 22)  Spring Security for OAuth  Apis Authorization Server (v2-31)  Restlet Framework (draft 30)  Apache CXF .NET:  .NET DotNetOpenAuth
  • 11. Java:  Apache Amber (draft 22)  Spring Social  Spring Security for OAuth  Restlet Framework (draft 30) .NET:  DotNetOpenAuth  Spring Social for .NET
  • 12. Авторизация без использования логина и пароля пользователя предоставляет множество преимуществ: Безопасность. Повышение лояльности пользователей. Удобство для пользователей.
  • 13. В реализации OAuth 2.0 можно выделить следующие отрицательные моменты: Взаимодействие Ограниченный срок действия маркеров