Что такое аутентификация OAuth? Краткая история.
OAuth 2.0 Аутентификация, как пояснил oauth.net, является «протокол делегирования, который используется для передачи решений авторизации через сеть веб-приложений и API». OAuth был создан в 2006 году разработчиками из Twitter и Ma.gnolia, социального сайта закладок. Ma.gnolia искал способ использовать OpenID вместе с API Twitter для делегирования аутентификации. Группы исследовали идеи и в конечном итоге поняли, что для делегации по доступу к API не существует открытого стандарта. Кроме того, Google также исследовал эту же проблему и слышал о проекте между Twitter и Ma.gnolia. В результате к команде присоединились пользователи Google. К концу 2007 года был выпущен проект OAuth Core 1.0. Нынешняя структура, OAuth 2.0 была выпущена в октябре 2012 года.
OAuth 2.0 Роли аутентификации
В OAuth 2.0 определяются следующие четыре роли:
- Владелец ресурса. Владелец ресурса может предоставить доступ к защищенному ресурсу или услуге. Это может быть человек, приложение или политика безопасности, но, как правило, реальный человек.
- Ресурсный сервер. Это сервер, на котором размещается ресурс или служба. Сервер принимает и отвечает на запросы.
- Клиентская заявка. Клиент, именуемый клиентом OAuth, является приложением, которое запрашивает доступ к ресурсам на сервере ресурсов.
- Авторизация сервера. После проверки подлинности владельца ресурса и получения авторизации сервер авторизации предоставляет клиенту токены доступа.
Важно отметить, что OAuth не является протоколом проверки подлинности, скорее, это протокол авторизации. Однако то, как компоненты работают вместе и взаимодействуют, может показаться, что аутентификация не предназначена для использования в качестве таковых.
Зачем использовать аутентификацию OAuth 2.0?
Коэффициенты в том, что вы уже видели OAuth концепции в действии и даже не понял его. Многие из приложений, которые вы используете каждый день использовать OAuth. Например, предположим, что вы ходите по магазинам для элемента, и вы найдете его на Etsy. Вы хотите купить его, но единственная проблема заключается в том, что у вас нет учетной записи Etsy. На главной странице Etsy вы увидите возможность входа с помощью учетной записи Facebook или Google. В этом случае вы владелец ресурсов, Etsy является клиентским приложением, а Facebook или Google — API или сервером авторизации. Теперь вам придется предоставить Etsy дополнительную информацию для покупки предметов, но с помощью OAuth Authentication это позволяет войти в Etsy без создания дополнительного пароля. Сегодня, вход в систему с помощью Facebook или Google стал повсеместно через Интернет, так что на самом деле в пользу OAuth?
- Защита вашей конфиденциальности. Использование OAuth позволяет предоставлять частные ресурсы с одного сайта на другой. OAuth предназначен, чтобы дать вам доступ к определенным вещам, не делясь своей личностью.
- Опыт работы с клиентами. В приведенной выше примере использование данных Facebook может позволить Etsy улучшить работу в приложении.
- Более сильная аутентификация. Опираясь на систему аутентификации, созданную более крупными компаниями, такими как Facebook или Google, это проще и менее рискованно, чем создание одной в доме.
Кроме того, и специально для разработчиков, есть библиотеки OAuth на различных популярных языках, включая PHP, Java, Ruby, Python, .NET, JavaScript и многие другие. Полный список поддерживаемых языков можно по https://oauth.net/code/.
Мониторинг API OAuth 2.0 с помощью Dotcom-Monitor
Ваш API может потребовать проверки подлинности OAuth 2.0, чтобы другим веб-службам, таким как клиентские приложения, были предоставлены права доступа к определенным ресурсам в вашем сервисе через HTTP/S. Вызов API службы, использующий OAuth 2.0, должен, как минимум, следовать этим шагам:
- Получение токена доступа API.
- Запрос пользовательских данных от службы с помощью токена доступа, присужденного приложению.
С помощью платформы Dotcom-Monitor можно настроить многозада какое-то устройство мониторинга с помощью задачи HTTP/S. Чтобы увидеть примеры скриптов аутентификации OAuth на платформе Dotcom-Monitor, а также узнать больше о том, как настроить устройство мониторинга для мониторинга доступности и производительности веб-API на базе OAuth, прочитайте нашу статью базы знаний о мониторинге API OAuth 2.0.
