التحديات في مراقبة التطبيقات التي تستخدم OAuth

في النظام البيئي للإنترنت للتطبيقات المتشابكة بشكل متزايد ، عندما يرغب أحد التطبيقات في تنفيذ بعض الإجراءات على تطبيق آخر نيابة عن مستخدم ، تنشأ حاجة إلى كيفية القيام بذلك دون مشاركة كلمة مرور تطبيق واحد مع آخر. مثال شائع على ذلك هو تسجيل الدخول باستخدام Facebook بواسطة التطبيقات التي تريد نشر شيء ما على يومياتك أو تريد الوصول إلى Google Drive. إذا قمت بمشاركة كلمة مرور Facebook الخاصة بك مع هذه التطبيقات حتى يتمكنوا من الوصول إلى يومياتك وحدث خرق للبيانات مع هذه التطبيقات ، فإن بيانات اعتماد Facebook الخاصة بك تتعرض أيضا للتهديد. أيضا ، من خلال مشاركة كلمة المرور الخاصة بك ، فإنك تمنح هذه التطبيقات تحكما كاملا في حسابك على Facebook بدلا من الوصول المحدود. لحل هذا التحدي ، تم تعريف بروتوكول ، يسمى OAuth.

أووث

OAuth هو بروتوكول / إطار تفويض مفتوح المعيار يمكن التطبيقات من الوصول المحدود إلى حسابات المستخدمين الخاصة بتطبيق آخر دون مشاركة كلمة مرور. يتم تزويد هذه التطبيقات برمز تفويض يمكن استخدامه لاستخدام خدمات تطبيق آخر نيابة عنك دون المساس بكلمة المرور الخاصة بك. يمكن استخدام OAuth لتخويل التطبيقات وواجهات برمجة التطبيقات والأجهزة والخوادم.

على مستوى عال ، إنها عملية تفويض آمنة للتفويض والوصول المحدود عبر HTTP بدلا من استخدام بيانات الاعتماد الخاصة بك التي تقلل من مخاطر الأمان. في حالة حدوث أي خرق أمني وسرقة بياناتك من التطبيق الذي يمكنه الوصول إلى Facebook الخاص بك ، فإن كلمة مرور Facebook الخاصة بك آمنة. لا قلق.

يحتوي OAuth على إصدارين – OAuth 1.0a و OAuth 2.0. كلا الإصدارين يختلفان تماما عن بعضهما البعض من حيث المواصفات وغير متوافقين للاستخدام معا. ولكن يتم استخدام إصدار OAuth 2.0 على نطاق واسع وسنركز على هذا الإصدار فقط أثناء الإشارة إلى OAuth ما لم يتم ذكره صراحة.

الجهات الفاعلة والتدفق

هناك أربعة ممثلين ، يشار إليهم أيضا باسم الأدوار ، في تدفق OAuth.

1. مالك المورد (المستخدم) – مالك البيانات المعنية الموجودة على خادم الموارد. يقوم مالك المورد بتفويض الوصول إلى الحساب الذي يقتصر على نطاق التفويض الممنوح.
2. خادم الموارد (API) – هو المكان الذي تتم فيه استضافة حساب المستخدم / الموارد في بيئة محمية.
3. العميل (التطبيق) – التطبيق الذي يطلب الوصول إلى حساب المستخدم.
4. خادم التخويل (API) – يقوم خادم التخويل بإجراء التحقق من الهوية من أجل إصدار رمز الوصول.

تتفاعل هذه الجهات الفاعلة مع بعضها البعض بناء على بروتوكول OAuth. يرجى ملاحظة أن بروتوكول OAuth يتعلق بالتفويض وليس المصادقة. التدفق العام لبروتوكول OAuth هو كما يلي:

1. يريد العميل الوصول إلى خادم الموارد ويطلب إذنا من المستخدم.
2. يقوم المستخدم إما بتفويض الطلب أو رفضه.
3. في حالة التفويض ، يحصل العميل على منحة تفويض.
4. ثم يقدم العميل منحة التفويض هذه وهويته إلى خادم التفويض ويطلب رمزا مميزا للوصول.
5. إذا كان لدى العميل كل من الهوية الصالحة ومنحة التفويض، فإن خادم التفويض يوفر له رمزا مميزا للوصول.
6. ينتقل العميل ، بعد ذلك ، إلى خادم الموارد ويطلب الوصول إلى المورد عن طريق تقديم رمز الوصول المميز إليه.
7. يوفر خادم الموارد الوصول المحدود المسموح به إلى العميل فقط إذا كان الرمز المميز صالحا.

التحديات في مراقبة التطبيقات التي تدعم OAuth

يتيح تنفيذ OAuth لتطبيقك الوصول إلى موارد الخادم على التطبيقات الأخرى مع حماية الخصوصية وتجربة المستخدم الرائعة. ولكن في الوقت نفسه ، يطرح OAuth بعض التحديات في مراقبة تطبيقك. دعونا نلقي نظرة على تلك التحديات.

إدارة الرمز المميز – يتطلب تنفيذ OAuth إدارة الرموز المميزة مع إدارة الدولة. وهذا يعني أن هذه الرموز يتم تحديثها وتدويرها. في حالة حدوث خطأ في التفويض، يصبح من الصعب معرفة الجهة الفاعلة في بروتوكول OAuth المخطئة. يصبح كابوسا لتصحيح الأخطاء.

OAuth الطلب / الاستجابة التبعية – ماذا لو قام مزود OAuth الخاص بك بتغيير شيء ما في آليته؟ حتى أدنى تغيير في معلمات الطلب / الاستجابة يمكن أن يكسر التطبيق بأكمله. قد يستغرق الأمر بعض الوقت قبل معرفة ما إذا كان مطوروك لا يهتمون بالإصدارات الجديدة من قبل مزود OAuth الخاص بك.

معاودة الاتصال – اعتمادا على التنفيذ ، قد يستغرق الأمر أكثر من مكالمة API واحدة بين جميع الجهات الفاعلة لإجراء معاملة OAuth ناجحة. في معظم الحالات ، يتم استخدام طريقة رد الاتصال لتحقيق ذلك الذي يمكن أن يكون معقدا بما يكفي لتتبع ما إذا كان هناك أي شيء ينكسر بينهما. أدوات المراقبة التقليدية ليست كافية لتحديد أخطاء معاودة الاتصال ، وزيادة وقت تصحيح الأخطاء ، وبالتالي زيادة وقت التوقف عن العمل.

التكوين – هذا مهم لجعل حياة فريق DevOps سهلة. إذا كنت تستخدم أداة مراقبة غير متخصصة في مهام HTTP (S) القابلة للتكوين بشكل كبير ، فستواجه صعوبة في مراقبة تدفقات OAuth التي تتضمن انتهاء صلاحية / تجديد الرمز المميز ومكالمات واجهة برمجة التطبيقات المتعددة عبر HTTP (ق).

الحل لمراقبة التطبيقات التي تدعم OAuth

تعد المراقبة الاصطناعية خيارا ممتازا عندما نتعامل مع تبعيات الجهات الخارجية ، و HTTP (S) ، وواجهات برمجة التطبيقات الباقية ، ومسارات المستخدم المعقدة ، وآلية تسجيل الدخول المخصصة مثل OAuth ، إلخ.

تعمل المراقبة الاصطناعية من خلال محاكاة سلوكيات المستخدم النهائي باستخدام برامج نصية مخصصة ، في بيئة قابلة للتكوين بدرجة عالية لدعم مرونة البنية ، ثم مراقبة حركة المرور والتدفق بطريقة استباقية. هذا يساعد في اكتشاف المشكلات وحلها قبل أن يواجهها المستخدمون الحقيقيون. يستخدم النظام الأساسي Dotcom-Monitor أداة برمجة نصية للإشارة والنقر، تسمى مسجل ويب EveryStep، لإنشاء برامج نصية يمكنها محاكاة مسارات المستخدم، بالإضافة إلى التحقق من المحتوى الذي يتم إرجاعه كاستجابة لإجراءات محددة. للتغلب على تحديات الرصد التي يفرضها تنفيذ OAuth ، ستحتاج إلى استخدام أدوات مراقبة اصطناعية متخصصة مع القدرات التالية التي يجب أن تكون لديك:

مراقبة معاملات الويب متعددة الخطوات – كما ذكرنا بإيجاز ، فإن معاملة OAuth الناجحة هي عملية متعددة الخطوات بين الجهات الفاعلة فيها. تمنحك المراقبة الاصطناعية القدرة على تكوين مراقبة متعددة الخطوات لمعاملات OAuth ومراقبتها باستمرار للتأكد من توفرها وأدائها. ستخبرك المراقبة متعددة المهام بالضبط بالخطوة المسؤولة عن التدفق المكسور حتى تتمكن من إصلاحه بسرعة.

البرامج النصية المخصصة مع مهام HTTP / S – يختلف تنفيذ OAuth الفعلي من تطبيقات إلى أخرى اعتمادا على البنية وسياسات الأمان.

تتيح لك أداة مراقبة خدمات الويب الاصطناعية كتابة مهام HTTP (ق) قابلة للتكوين للغاية وبرامج نصية مخصصة لمسارات المستخدم المعقدة. سيساعدك ذلك على مراقبة التدفق الشامل لمعاملة OAuth لتطبيقك والصحة العامة لواجهات برمجة التطبيقات وعمليات رد الاتصال. بالإضافة إلى ذلك، إذا كنت بحاجة إلى التحقق من البيانات، مثل أسماء المستخدمين، التي يتم إرجاعها كاستجابة، فيمكنك إعداد البرامج النصية باستخدام مسجل ويب EveryStep للتحقق من هذه الكلمات الرئيسية المحددة.

بالإضافة إلى هذه القدرات ، تعد أدوات المراقبة الاصطناعية أحد الأصول القيمة لمراقبة تبعيات الجهات الخارجية وخدمات الويب والبروتوكولات (بروتوكولات SOAP و REST و TCP و ICMP) والبنية التحتية. يتيح لك Dotcom-Monitor تكوين معاملة متعددة الخطوات لواجهة برمجة تطبيقات الويب المستندة إلى OAuth باستخدام مهمة HTTP (s) والتحقق باستمرار من وقت التشغيل والأداء والوظائف 24/7.

جرب منصة Dotcom-Monitor الكاملة مجانا لمدة 30 يوما.