This is the Trace Id: 20cc7d7ba5070fcb0dff79925427057c
Преминаване към основното съдържание
Microsoft Security

Какво представлява OAuth?

Научете какво представлява OAuth и как се използва за разрешаване на достъп между приложения и услуги, без да се компрометира поверителна информация.

Обяснение на OAuth

OAuth е технологичен стандарт, който ви позволява да упълномощите едно приложение или услуга да влиза в друго без разкриване на лична информация, например пароли. Ако някога сте получили съобщение като „Влизане с Facebook?“ или „Позволявате ли на това приложение достъп до вашия акаунт?” значи сте видели OAuth в действие.

OAuth означава „Отворено упълномощаване“, а не удостоверяване, както понякога се възприема по този начин. Удостоверяването е процес, който проверява вашата самоличност. OAuth има връзка с вашата самоличност, но целта му е да ви предостави разрешение за безпроблемно свързване с различни приложения и услуги, без да е необходимо да създавате нов акаунт. OAuth предоставя тази опростена среда за работа като ви дава възможност да упълномощите две приложения да споделят някои от вашите данни, без да се разкриват идентификационните ви данни. То постига баланс между удобство и защита.

OAuth е създадено да работи с протокола за пренос на хипертекст (HTTP). Използва маркери за достъп, за да докаже самоличността ви и да й позволи да взаимодейства с друга услуга от ваше име. В случай че тази втора услуга претърпи пробив в данните, вашите идентификационни данни за първата услуга ще останат в безопасност. OAuth е широко приет, отворен стандартен протокол и повечето разработчици на уеб сайтове и приложения го използват.

Важно е, че OAuth не предоставя неограничен достъп до вашите данни на приложение или услуга от трето лице. Част от протокола указва до какви данни е разрешено на третото лице да осъществява достъп и какво може да прави с тези данни. Задаването на такива ограничения и защитата на самоличностите по принцип са особено важни в бизнес сценариите, при които много хора имат достъп до изобилие от чувствителна и собствена информация.


 

Как работи OAuth?

Маркерите за достъп са това, което осигурява защитата при използване на OAuth. Маркерът за достъп е част от данните, която съдържа информация за потребителя и ресурса, за който е предназначен маркерът. Маркерът ще включва и конкретни правила за споделяне на данни.

Например може да искате да споделяте снимки от профила си в социалните мрежи като използвате приложение за редактиране на снимки, но искате то да има достъп само до някои от вашите снимки. Също така не е необходимо да се осъществява достъп до вашите лични съобщения или списъка с приятелите ви. Маркерът упълномощава само достъпа до данните, за които давате одобрение. Може също да има правила, определящи кога приложението може да използва този маркер – той може да е за еднократна употреба или за повторна употреба – и дата на изтичане на срока му.

Процесът на OAuth е предимно взаимодействие от машина към машина само с няколко допирни точки за потребителя. В някои случаи може да не се наложи да предоставяте одобрението си, тъй като то негласно се обработва във фонов режим от софтуера. Два примера на OAuth за това ще бъдат в сценарий на корпоративна работа, при който платформа за самоличност обработва връзки между ресурси, за да намали свързаните с ИТ конфликти при голям брой потребители или при взаимодействия между някои интелигентни устройства.


 

Примери за технологията на OAuth

Подобно на много технологии, които опростяват нещо досадно – в този случай, ръчното създаване на акаунти в няколко приложения – OAuth се възприема почти единодушно от създателите на приложения. Отличава се с голямо разнообразие от случаи на използване за хора и в бизнеса.

Като пример за OAuth, да предположим, че използвате Microsoft Teams като инструмент за сътрудничество и искате да получите достъп до повече информация за хората, с които работите, както във, така и извън вашата организация. Вие решавате да активирате интегрирането на LinkedIn, така че да можете да научите повече за хората, докато си взаимодействате с тях, без да излизате от Teams. След това Microsoft и LinkedIn ще използват OAuth, за да упълномощят свързването на вашите акаунти със самоличността ви в Microsoft.

Друг сценарий, при който се използва OAuth, би бил, ако изтеглите приложение за бюджетиране, което да ви помага да следите разходите си с предупреждения и визуални средства, например графики. За да изпълнява това, приложението ще се нуждае от достъп до някои от вашите банкови данни. Можете да инициирате искане за свързване на банковата ви сметка с приложението като разрешите достъп само до салдото и транзакциите по сметката ви. Приложението и вашата банка ще използват OAuth, за да извърши този обмен на информация от ваше име, без да разкрива вашите идентификационни данни за влизане в приложението за банката.

Друг пример за OAuth би бил, в случай че сте разработчик, използващ GitHub, и научите, че има налично приложение на друг разработчик, което може да се интегрира с вашия акаунт за извършване на автоматизирани прегледи на код. Отивате в пазара на GitHub и изтегляте приложението. След това ще бъдете помолени да упълномощите връзка с приложението като използвате самоличността си в GitHub – процес, който ще бъде обработен с помощта на OAuth. След това приложението за преглед може да получи достъп до вашия код, без да се налага да влизате и в двете услуги всеки път.

Каква е разликата между OAuth 1.0 и OAuth 2.0?

Оригиналният OAuth 1.0 е разработен само за уеб сайтове. Не се използва широко днес, защото OAuth 2.0 е предназначен както за приложения, така и за уеб сайтове, освен това работи по-бързо и се внедрява по-лесно. OAuth 1.0 не се мащабира като OAuth 2.0 и има само три възможни потока за упълномощаване в сравнение с шест в OAuth 2.0.

Ако планирате да използвате OAuth, най-добре е да използвате версия 2.0 от самото начало. За съжаление, OAuth 1.0 не може да бъде надстроен до OAuth 2.0. OAuth 2.0 е предназначен да бъде радикално преработен дизайн на OAuth 1.0 като няколко основни технологични фирми са допринесли с обратна връзка за дизайна му. Даден уеб сайт може да поддържа както OAuth 1.0, така и OAuth 2.0, но намерението на създателите е било версията 2.0 напълно да замести версията 1.0.

OAuth в сравнение с OIDC

OAuth и Open ID Connect (OIDC) са тясно свързани протоколи. Те са подобни по това, че и двата играят роля при предоставянето на достъп на едно приложение до ресурсите на друго приложение от името на потребителя. Разликата е, че докато OAuth се използва за упълномощаване за достъп до ресурси, OIDC се използва за удостоверяване на самоличността на лице. И двата играят роля при разрешаване на две несвързани приложения да споделят информация, без да се компрометират потребителските данни.

Доставчиците на самоличност обикновено използват OAuth 2.0 и OIDC заедно. OIDC е разработен специално за подобряване на възможностите на OAuth 2.0 чрез добавяне на слой за самоличност към него. Тъй като е създаден на база на OAuth 2.0, OIDC не е обратно съвместим с OAuth 1.0.

 

Първи стъпки с OAuth

Използването на OAuth 2.0 с вашите уеб сайтове и приложения може да подобри значително работата на вашите потребители или служители чрез опростяване на процеса на удостоверяване на самоличността. За да започнете, инвестирайте в решение на доставчик на самоличност, например Microsoft Entra, което защитава потребителите и данните чрез вградена защита

Microsoft Entra ID (преди Azure Active Directory) поддържа всички потоци на OAuth 2.0. Разработчиците на приложения могат да използват ИД като базиран на стандарти доставчик на удостоверяване, за да помогнат за интегрирането на корпоративни, модерни възможности за самоличност в приложения. ИТ администраторите могат да го използват за управление на достъпа.

Научете повече за Microsoft Security

  • Разглеждане на Microsoft Entra

    Защитете самоличностите и защитения достъп в облаците с холистично семейство решения.

    Научете повече

  • Microsoft Entra ID (преди Azure Active Directory)

    Защитете достъпа до ресурси и данни, като използвате сигурно удостоверяване и адаптивен достъп въз основа на риска.

    Научете повече

  • Изграждане на доверие във вашите приложения

    Внедрете SSO, така че служителите да имат достъп до всички ресурси, които са им необходими, само с едни идентификационни данни.

    Научете повече

  • Опростяване на средата за работа при влизане

    Внедрете SSO, така че служителите да имат достъп до всички ресурси, които са им необходими, само с едни идентификационни данни.

    Научете повече

  • Защита срещу атаки

    Използвайте многофакторно удостоверяване, за да подобрите защитата на ресурсите на вашата организация.

    Научете повече

  • Използване на OAuth за опростяване на достъпа до данни в имейли

    Научете как да удостоверявате връзки към приложения с помощта на наследени протоколи.

    Прочетете повече

 

 

Често задавани въпроси

  • OAuth е съкращение на Open Authorization и е технологичен стандарт, който ви позволява да упълномощите едно приложение или услуга да влиза в друго приложение или услуга, без да се разкрива лична информация, например пароли. Когато дадено приложение поиска от вас разрешение да види информацията от профила ви, то използва OAuth.

  • OAuth работи чрез обмен на токени за достъп – части от данни, които съдържат информация за потребителя и ресурса, за който е предназначен токена. Дадено приложение или уеб сайт обменя шифрована информация с друга информация за даден потребител и включва специфични правила за споделяне на данни. Също така може да има правила, определящи кога приложението може да използва този токен, както и срока на валидност. Процесът на OAuth е предимно взаимодействие от машина към машина само с няколко допирни точки за потребител, ако има такива

  • Много фирми използват OAuth, за да опростят достъпа до приложения и уеб сайтове на трети лица, без да разкриват паролите на своите потребители или чувствителни данни. Google, Amazon, Microsoft, Facebook и Twitter го използват за споделяне на информация за техните акаунти за различни цели, включително за опростяване на покупките. Платформата за самоличност на Microsoft използва OAuth, за да упълномощава решения за служебни и учебни акаунти, лични акаунти, акаунти в социална мрежа и акаунти за игри.

  • OAuth и Open ID Connect (OIDC) са тясно свързани протоколи. Те са подобни по това, че и двата играят роля при предоставянето на достъп на едно приложение до ресурсите на друго приложение от името на потребителя. Обаче разликата е, че докато OAuth се използва за упълномощаване за достъп до ресурси, OIDC се използва за удостоверяване на самоличността на лице. И двата играят роля при разрешаване на две несвързани приложения да споделят информация, без да се компрометират потребителските данни.

  • Има много разлики между OAuth 1.0 и OAuth 2.0, тъй като OAuth 2.0 е проектиран да бъде радикален повторен дизайн на OAuth 1.0, което го прави почти остарял. OAuth 1.0 е разработен само за уеб сайтове, докато OAuth 2.0 е предназначен както за приложения, така и за уеб сайтове. OAuth 2.0 е по-бърз и по-лесен за внедряване, може да мащабира и има шест възможни потока за удостоверяване в сравнение с трите, които OAuth 1.0 има.

Следвайте Microsoft 365