Што је добро за ултимативну веб безбедност

И ЈВТ и ОАутх вам могу помоћи да побољшате безбедност ваше веб апликације нудећи сигурну аутентификацију и ауторизацију. Али који би требало да примените да бисте омогућили корисницима да безбедно приступају вашој веб апликацији? Припремили смо детаљан чланак о ЈВТ против ОАутх-а да одговоримо на ово питање.

Након што га прочитате, имаћете јасну представу о томе шта су ЈВТ и ОАутх, које предности нуде, по чему се разликују и који би требало да примените да бисте побољшали безбедност ваше веб апликације.

Без даљег одлагања, уронимо.

Шта је ЈВТ?

ЈВТ, што је скраћеница за ЈСОН Веб Токен, је отворени стандард који дефинише начин за безбедно дељење информација између две стране као ЈСОН објекат. Пошто су информације дигитално потписане, стране могу да верују и верификују информације које се преносе преко ЈСОН веб токена.

Релативно мала величина ЈВТ-ова омогућава им да се шаљу преко ПОСТ параметра, УРЛ-а или унутар ХТТП заглавља. ЈСОН веб токен има три дела: заглавље, корисни терет и потпис.

Заглавље говори о којој врсти токена је реч и о врсти алгоритма за потписивање који се користи. Корисни део ЈВТ-а укључује тврдње које су изјаве о корисницима и додатни подаци.

Као што назив имплицира, део са потписом ЈСОН веб токена има потпис који потврђује да порука није била умерена успут.

Како ЈВТ раде

Извор слике: ДЕВ

Следеће је како функционише ЈСОН веб токен.

Пријава корисника

Корисници се пријављују на вашу веб апликацију подношењем својих корисничких имена и лозинки. Затим ваша апликација преноси ове акредитиве за пријаву на сервер за аутентификацију.

Генерисање токена

Након што сервер за аутентификацију верификује корисничке акредитиве за пријаву, генерише ЈСОН веб токене и шаље их корисницима. Ови ЈВТ-ови могу укључивати критичне информације о корисницима и сесијама аутентификације. Корисници чувају ове ЈВТ-ове локално. На основу подешавања, сервер такође може да потпише ЈВТ-ове користећи дељени тајни или приватни кључ како би побољшао безбедност.

Верификација токена

Када корисници поднесу захтев вашем серверу апликација за приступ било ком ресурсу, они ће укључити своје ЈВТ-ове у своје захтеве сервера. Ваш сервер апликација ће верификовати потписе у ЈВТ-овима и проверити захтеве у корисним учитавањима да би проверио да ли је корисницима дозвољен приступ траженим ресурсима.

Ако су ЈВТ-ови важећи, корисницима ће бити одобрен приступ траженим ресурсима на вашој веб апликацији.

Случајеви употребе ЈВТ-а

ЈСОН веб токене можете користити на следеће начине:

#1. Овлашћење

Након што се корисници успешно пријаве на вашу веб апликацију преко крајње тачке за пријаву, сервер за аутентификацију ће им издати ЈВТ-ове. Корисници ће користити своје ЈВТ-ове за приступ ресурсима унутар апликације, који захтевају аутентификацију да би доказали свој идентитет.

Размена информација између страна

ЈСОН веб токен може бити права опција за безбедно преношење информација важећим корисницима. ЈСОН веб токени су потписани како би се осигурало да информације потичу из оригиналног извора. Такође, структура ЈВТ-а (део потписа) омогућава примаоцима да провере да информације нису успут подешене.

Предности ЈВТ-а

Следе кључне предности имплементације ЈВТ-а у вашу веб апликацију.

• За разлику од САМЛ токена, ЈВТ-ови су лагани. Дакле, можете их брзо имплементирати у ХТМЛ и ХТПП окружењима, чинећи ЈВТ идеалним за клијентске апликације као што су мобилне апликације.
• ЈВТ нуде робусну сигурност. Можете симетрично потписати ЈВТ-ове заједничком тајном користећи ХМАЦ алгоритам или приватни кључ да бисте их асиметрично потписали.
• ЈВТ-ови долазе са уграђеним механизмом истека, који вам омогућава да подесите период истека ЈВТ-а како бисте побољшали безбедност.
• ЈСОН веб токени су широко прихваћени у различитим решењима за једнократну пријаву. Као резултат тога, лако је радити са ЈВТ-ом.

Штавише, ЈВТ-ови могу да уштеде простор за складиштење базе података у вашој компанији. То је зато што ваш сервер креира само ЈВТ-ове и они се чувају на страни клијента. Такође, ЈВТ-ови не захтевају претрагу базе података.

Дакле, ЈВТ-ови се могу брзо верификовати, нудећи супериорно корисничко искуство.

Ограничења ЈВТ-ова

Иако су ЈВТ-ови одличан начин за ауторизацију корисника. Они имају одређена ограничења, као што су:

• Ви сте одговорни за безбедност кључа за шифровање. Ако се хакер дочепа кључа који потписује ваше ЈВТ-ове, у великој сте невољи. Могли би да направе лажне токене који се мешају са вашим корисничким подацима. То је велики безбедносни ризик.
• ЈВТ-овима није потребан позив базе података за сваку проверу, што звучи добро. Али ако треба да опозовете један што је пре, мораћете да га ставите на црну листу. То није брз или једноставан задатак.
• Када ЈВТ истекне, није ствар само у продужењу тајмера. Ваш систем ће тражити од корисника да се поново пријави како би добио нови токен. Ово додаје сложеност целом процесу, захтевајући више размишљања о корисничком искуству и безбедносним токовима. Да бисте олакшали процес, можете имплементирати токене за освежавање у комбинацији са ЈВТ-овима. Када приступни токен истекне, клијенти могу да користе ове токене за освежавање да захтевају нове приступне токене без да клијент поново поднесе акредитиве за пријаву.
• Имплементација ЈВТ-а у вашу веб апликацију није једноставан задатак; захтева додатни инжењерски рад. Мораћете да подесите процес креирања токена, изаберете прави механизам потписивања који ће одговарати вашој апликацији и све то интегрисати са вашом постојећом архитектуром.

ЈВТ-ови нису решење у једном кораку, већ пројекат који захтева пажљиво планирање и извршење.

Шта је ОАутх?

ОАутх, скраћеница за отворену ауторизацију, је отворени стандардни протокол за ауторизацију за ауторизацију. Омогућава веб апликацијама или веб локацијама да приступе ресурсима које хостују апликације трећих страна у име корисника без да корисници деле акредитиве за пријаву за апликације трећих страна.

Сада, написан као ОАутх 2.0 (најновија верзија ОАутх), широко се користи за аутентификацију корисника преко сервера за аутентификацију.

На пример, са ОАутх-ом, корисници могу да се пријаве на вашу апликацију помоћу својих Фацебоок или Гоогле налога. Али они ће унети своје акредитиве за пријаву само на Фацебоок или Гоогле налоге.

Како ради ОАутх

Извор слике: Зохо

На пример, имате апликацију за управљање временом. А да бисте свима омогућили да ефикасно користе вашу апликацију, потребан вам је приступ њиховим пријемним сандучићима. Ранијих дана, корисници су морали да деле своје акредитиве за пријаву са вашом апликацијом да би апликацији омогућили приступ њиховим пријемним сандучићима. ОАутх2.0 је решио овај проблем.

Ево како ОАутх2.0 ток посла изгледа:

Ваша апликација за управљање временом (клијент) захтева приступ заштићеним ресурсима; у овом случају, то је пријемно сандуче корисника, у власништву корисника (власника ресурса). Ваша апликација то ради тако што корисника шаље на овлашћену крајњу тачку.

Власник ресурса (корисник) потврђује аутентичност и ауторизује захтев за приступ ресурсу из апликације за управљање временом. Клијент (ваша апликација) ће добити одобрење од овлашћене крајње тачке.

Ваша апликација ће захтевати приступни токен од сервера за ауторизацију за приступ пријемном сандучету корисника. То ће учинити тако што ће доставити одобрење за ауторизацију и са сопственом аутентификацијом идентитета.

Ако је идентитет ваше апликације потврђен и одобрење ауторизације је важеће, ваша апликација ће добити приступни токен за приступ пријемном сандучету корисника.

Ако је приступни токен важећи, ваша апликација сада може да приступи корисничким подацима (корисничком пријемном сандучету) тако што ће послати приступни токен за аутентификацију.

Сада ваша апликација за управљање временом може да приступи пријемном сандучету корисника. Као што има Оаутх разне врсте грантоваток ауторизације може се незнатно разликовати на основу типова одобрења.

Предности ОАутх-а

Следе кључне предности коришћења ОАутх-а.

• ОАутх је широко прихваћен стандард. То значи да све водеће услуге аутентификације разумеју и користе ОАутх.
• Корисници ће пронаћи много ОАутх додатака и функција које могу да бирају, захваљујући његовој широкој употреби и компатибилности.
• ОАутх нуди тестиране клијентске библиотеке за скоро све програмске језике и веб оквире. Дакле, можете користити жељени језик са ОАутх-ом.
• ОАутх је веома безбедан и добро проверен. Пошто је тако широко коришћен, стручњаци су већ размотрили све могуће безбедносне ризике.
• ОАутх је одличан за раздвајање кода. Ваш главни код апликације се не квари приликом руковања задацима аутентификације. Ово олакшава управљање и ажурирање ваше апликације на дужи рок.

Случајеви коришћења ОАутх

Следе неки популарни случајеви коришћења ОАутх-а:

• Најчешћа употреба ОАутх 2.0 је стварање апликација трећих страна за приступ корисничким налозима. Са ОАутх 2.0, корисници могу овластити трећа лица да приступе њиховим подацима ускладиштеним у различитим услугама без давања трећим лицима акредитива за пријаву на те услуге.
• Као власник веб апликације, можете користити ОАутх 2.0 за имплементацију јединствене пријаве. Можете истражити ова ОАутх решења отвореног кода за свој пројекат.
• Можете да имплементирате ОАутх 2.0 у свој АПИ мрежни пролаз да би АПИ мрежни пролаз деловао као сервер за ауторизацију. Ово ће осигурати да ће АПИ мрежни пролаз проследити захтеве клијената са важећим токенима за приступ.
• ОАутх 2.0 може да омогући ИоТ и паметне уређаје као што су фрижидери или телевизори да комуницирају са АПИ-јима трећих страна у име корисника. Ово је корисно када корисник жели да се пријави у апликацију на гаџетима без обичне тастатуре, попут паметног телевизора или конзоле за игре.

Ограничења ОАутх-а

Опсег доступних токова може бити застрашујући за оне који су нови у ОАутх-у. Не ради се само о одабиру једног; понекад вам је потребна комбинација да бисте испунили све ваше безбедносне захтеве. Ова сложеност може отежати почетницима да знају одакле да почну, шта да користе и како да то ефикасно интегришу.

Сваки ток служи јединственој сврси, било за мобилне апликације, комуникацију између сервера или веб апликације. Дакле, пажљива анализа ваших специфичних потреба је од суштинског значаја пре него што направите избор.

ОАутх 2.0 зависи од ССЛ/ТЛС-а да би ствари биле безбедне. Ако ССЛ/ТЛС није исправно подешен, онда би безбедност ОАутх 2.0 могла бити угрожена.

Такође, ОАутх може покренути проблеме са приватношћу, посебно када се прати активност корисника. Када користите услугу као што је „Пријавите се помоћу Гоогле-а“, Гоогле може постати свестан ваших активности на том сајту треће стране. Не само да Гоогле може знати да сте се пријавили, већ може и да прати колико често и када остварујете интеракцију са том веб локацијом.

Штавише, ОАутх би могао бити претеран за једноставнија подешавања, као што је апликација са само предњим и задњим делом. Можда вам неће требати његове сложености у таквим случајевима.

Разлика између ЈВТ-а и ОАутх-а

ЈВТ и ОАутх служе кључној функцији верификације идентитета корисника да би се одобрио приступ ресурсима. Они су суштински алати у безбедносном окружењу, али се разликују по обиму, сложености и примени.

КарактеристикеЈВТсОАутхГлавна употребаЈВТ-ови се углавном фокусирају на АПИ-је.ОАутх покрива веб, прегледач, АПИ и друге апликације.Токен наспрам протоколаЈВТ су формат токена.ОАутх је протокол за ауторизацију.СторагеЈВТ-ови се ослањају само на складиште на страни клијента.ОАутх користи и клијентску страну Складиштење на страни сервера. Флексибилност ЈВТ-ови су ограниченији у обиму. ОАутх нуди већу флексибилност и шири спектар случајева коришћења. Једноставност употребе ЈВТ-ови су једноставнији и лакши за разумевање. ОАутх је сложенији.

Док су ЈВТ-ови једноставнији и усмерени ка безбедности АПИ-ја, ОАутх пружа свеобухватно решење за механизам аутентификације које се може прилагодити различитим сценаријима.

А ОАутх може омогућити корисницима да дозволе апликацији треће стране да приступи њиховим подацима на другој платформи без откривања својих података за пријаву.

Да ли је један бољи зависи од специфичних потреба система или мреже у питању.

Можете ли користити ЈВТ и ОАутх заједно?

Иако ЈВТ и ОАутх служе у различите сврхе, можете их комбиновати заједно.

ОАутх протокол не наводи формат токена који се мора строго користити. Дакле, можете имплементирати ЈВТ у ОАутх.

На пример, сервер за аутентификацију ОАутх2 може издати токен за приступ који садржи ЈВТ. А овај ЈВТ би могао да укључи додатне информације у носивост, побољшавајући перформансе. То је зато што ће бити смањена повратна путовања између сервера за аутентификацију и сервера ресурса.

Комбиновање ЈВТ-ова и ОАутх2 такође може да се деси кроз приступ са двоструким токеном—ОАутх2 издаје два одвојена токена у овој методи: аццесс_токен и ЈВТ. ЈВТ садржи додатне информације о идентитету. Овај приступ пружа додатни слој детаља, дајући вам већу контролу над корисничким приступом и подацима.

Од кључне је важности да користите ОпенИД Цоннецт када се одлучите за ову стратегију са двоструким токеном. ОпенИД Цоннецт гради на ОАутх2 и додаје више стандардизованих поља токенима.

Коришћење ЈВТ-ова уместо ОАутх2 може учинити ствари бржим и мање сложеним за специфичне задатке. Али то такође може учинити развој изазовнијим.

Када одлучите да користите ЈВТ са ОАутх2, размислите да ли повећање брзине оправдава додатни рад у развоју.

Закључак

У борби између ЈВТ-а против ОАутх-а за врхунску безбедност на вебу, сваки има предности и недостатке. ЈВТ блиста за брзу аутентификацију без држављанства, али има ограничења као што је недостатак уграђеног опозива. ОАутх се истиче у сложеним сценаријима ауторизације, али може бити превелик за једноставније пројекте.

Ако вам је потребна чврста ауторизација и ефикасна аутентификација, размислите о комбиновању ЈВТ и ОАутх-а преко ОпенИД Цоннецт-а.

Ваш избор треба да зависи од ваших специфичних потреба пројекта, а не само од хипе око ових технологија.

Поред тога, можете истражити ове популарне платформе за аутентификацију корисника како бисте одабрали најбоље решење за своју апликацију.