Лекції
Почати
Почати навчання
JavaRush /Курси /Модуль 5. Spring /Лекція 101: Вступ до OAuth2 та його архітектури

Лекція 101: Вступ до OAuth2 та його архітектури

Модуль 5. Spring
Рівень 18 , Лекція 0
Відкрита

Сьогодні занурюємось у основи OAuth2 — стандарту авторизації, який дозволяє безпечно керувати доступом до ресурсів. Це важливий крок на шляху до створення масштабованих і захищених застосунків, особливо якщо ви працюєте з розподіленими системами або хочете інтегрувати аутентифікацію через сторонні провайдери, такі як Google або Facebook.

Що таке OAuth2?

Отже, почнемо з простого. OAuth2 — це стандарт для авторизації, який дозволяє застосункам безпечно отримувати доступ до ресурсів (наприклад, користувацьких даних), наданих іншими сервісами. Але перш ніж копатися в деталях, давайте трохи поговоримо про попередника — OAuth1.

  1. OAuth1 був потужним, але складним стандартом: він використовував підписи на основі криптографії HMAC і вимагав більше зусиль для реалізації.
  2. OAuth2 спрощений, але при цьому не менш надійний. Він покладається на HTTPS для забезпечення безпеки і використовує гнучку концепцію токенів.

Приклад

Уявіть, що ви хочете, щоб ваш застосунок міг публікувати нотатки в Twitter від імені користувача. Замість того, щоб просити пароль користувача (і ризикувати його безпекою), ви можете використати OAuth2. Користувач авторизується через Twitter, і ваш застосунок отримує тимчасовий ключ (токен), що дозволяє виконувати дії від імені користувача. Зручно і безпечно!

Telegram

Основні учасники архітектури OAuth2

У будь-якій архітектурі OAuth2 беруть участь наступні герої:

  1. Ресурсний сервер (Resource Server) — сервер, де зберігаються ваші дані. Наприклад, це може бути Twitter або GitHub.
  2. Клієнт (Client) — ваш застосунок, який хоче отримати доступ до даних на ресурсному сервері.
  3. Користувач (Resource Owner) — власник даних (наприклад, користувач, який авторизується).
  4. Сервер авторизації (Authorization Server) — сервер, який відповідає за видачу токенів після успішної авторизації.

Давайте розберемося на прикладі:

  • Користувач заходить у ваш застосунок (клієнт).
  • Застосунок перенаправляє користувача на сервер авторизації (наприклад, Google).
  • Користувач вводить свої дані (логін, пароль) і дає згоду на доступ.
  • Google повертає токен вашому застосунку, щоб він міг працювати з його ресурсами (наприклад, контактами).

Погляньте на це як на ситуацію, в якій ви даєте другові ключ від вашого гаража, замість того щоб давати ключ від усієї квартири!

Потоки OAuth2: що це і як працює

В залежності від сценарію використання, OAuth2 підтримує кілька "потоків" або алгоритмів роботи. Вибір потоку залежить від того, хто запитує доступ і як це відбувається.

Потік Короткий опис
Authorization Code Ідеально підходить для веб-застосунків. Клієнт отримує токен через сервер авторизації
Implicit Flow Застарілий і менш безпечний метод. Використовується для SPA, де токен передається прямо клієнту
Resource Owner Password Клієнт запитує дані напряму у користувача (не радиться)
Client Credentials Використовується для серверних застосунків, яким не потрібні дані конкретного користувача

Authorization Code Flow: приклад

Давайте заглибимось у Authorization Code Flow, бо це найпопулярніший потік. Він включає такі етапи:

  1. Клієнт перенаправляє користувача на сервер авторизації.
  2. Користувач входить у систему і підтверджує дозвіл.
  3. Сервер авторизації повертає тимчасовий код авторизації.
  4. Клієнт відправляє цей код назад на сервер авторизації і отримує токен доступу.

Схема цього процесу:


[Користувач] ---> [Клієнт] ---> [Сервер авторизації]
    ^                                             |
    |---------------------------------------------|
                        Токен

Чому це безпечно? Тому що токен передається через сервер авторизації, а не напряму клієнту.

Чому OAuth2 так важливий для мікросервісів?

Мікросервіси — це окрема глава в розробці застосунків. Тут у нас десятки (а то й сотні) маленьких сервісів, які повинні безпечно взаємодіяти. OAuth2 вирішує купу проблем:

  1. Централізована аутентифікація. Наприклад, кожен мікросервіс не повинен сам перевіряти логіни і паролі.
  2. Управління доступом. Мікросервіси можуть зосередитися на своїй бізнес-логіці, а безпеку залишити централізованому серверу.
  3. Токени. Кожна взаємодія підтверджується токенами, що виключає можливість неавторизованого доступу.

Кейси використання OAuth2 у реальних застосунках

Тепер трохи надихнемося реальними кейсами використання OAuth2.

  • Google Drive API: Ви можете отримати доступ до файлів користувача через їхній API, використовуючи OAuth2.
  • GitHub API: Авторизувавшись через GitHub, ви можете керувати репозиторіями користувача.
  • Slack API: Ваші застосунки можуть надсилати повідомлення в Slack від імені користувача.

Кожен з цих API використовує стандарт OAuth2, що робить їх безпечними і простими для інтеграції.

Часті питання про OAuth2

Чим відрізняється OAuth2 від OAuth1?

OAuth2 значно легший у реалізації завдяки відмові від складних криптографічних підписів (HMAC). Натомість все базується на HTTPS, яке вже забезпечує шифрування.

Чи можна використовувати OAuth2 для мобільних застосунків?

Так, OAuth2 підходить для будь-яких типів застосунків, включно з мобільними. Для мобільних часто використовують потоки Authorization Code або Implicit Flow.

Проблеми OAuth2 і як їх вирішують

Хоч OAuth2 — потужний інструмент, у нього є свої проблеми. Наприклад, що якщо токен доступу спливає? Або якщо його викрадуть? Тут вступають додаткові механізми, як-от Refresh токени (ми їх вивчимо в наступних лекціях).

Також загальна порада: тільки HTTPS! OAuth2 ефективний лише в поєднанні з безпечним транспортним протоколом.

Готуйтесь до практики! У наступних лекціях ми почнемо впроваджувати OAuth2 і JWT в наш застосунок. Пора навчитися захищати свої мікросерві не лише від користувачів, а й від злих сил (ой, тобто від зловмисників)!

Коментарі
ЩОБ ПОДИВИТИСЯ ВСІ КОМЕНТАРІ АБО ЗАЛИШИТИ КОМЕНТАР,
ПЕРЕЙДІТЬ В ПОВНУ ВЕРСІЮ