استاندارد OAuthبرای حل یک مشکل امنیتی ایجاد شد. در اوایل دوران شبکههای اجتماعی در وب، قصه از این قرار بود که شبکههای اجتماعی برای اینکه بتوانند دوستان ما را پیدا کنند به آدرس ایمیل ما احتیاج داشتند. خاطرتان باشد اون دوران یعنی حدود سال ۲۰۰۷ شماره موبایل و مفهوم لیست تماسها در گوشیهایمان به این شکل رایج نبود. به همین خاطر بهترین روش پیدا کردن دوستان و دایره اطرافیان ما از طریق ایمیل بود و شبکههای اجتماعی (مثل یاهو ۳۶۰، اورکات و فیسبوک) هم برای اینکه به این لیست ایمیلهای ما دسترسی پیدا کنند از ما میخواستند تا یوزرنیم و پسورد اکانتمون رو به اونها بدهیم.
مشکلات این روش لو دادن شناسه و رمز عبور به هر سایت ثالثی :
1. ریسکهای امنیتی: کاربران مجبور بودند به این چنین سایتها (هر سایتی که میخواست لیست ایمیل دوستان ما رو پیدا کنه) اعتماد کنند که اطلاعات اکانت خود را وارد کنند و هیچ تضمینی وجود نداشت که این سرویسها از شناسه و رمزهای ما به درستی استفاده کنند. کسی به فیسبوک و امثالهم اینقدر اعتماد نداشت.
2. اشتراک گذاری رمز عبور: سرویسها میتوانستند رمز عبور ما را ذخیره کنند یا از آن برای اهدافی فراتر از خواسته کاربر استفاده کنند، مانند دسترسی غیرمجاز یا انجام اقدامات مخرب در حساب کاربر.
3. نگرانیهای حریم خصوصی: دادن دسترسی کامل به حساب، به جای دادن مجوزهای خاص، به این معنی بود که کاربران کنترل بسیار کمی روی آنچه این سایتها از دسترسی به حساب ایمیل ما میتوانستند انجام دهند، داشتند.
ایده پشت OAuthدر حدود سالهای ۲۰۰۶-۲۰۰۷ برای رفع این مشکلات به وجود آمد. گروهی از توسعهدهندگان از توییتر، گوگل و سایر سازمانها شروع به همکاری کردند تا یک راهحل امنتر ایجاد کنند. هدف آنها ایجاد یک پروتکل بود که به کاربران اجازه میداد مجوزهای خاصی به برنامههای شخص ثالث (یعنی همان شبکههای اجتماعی و امثالهم) بدهند بدون اینکه اطلاعات اکانت ایمیل خود را با دادن یوزر و پسورد در معرض خطر قرار دهند.
OAuth 1.0 در دسامبر ۲۰۰۷ نهایی شد. این پروتکل به کاربران اجازه میداد تا به سرویسهای شخص ثالث مجوز دسترسی به دادههای خود را در یک پلتفرم دیگر بدهند، بدون اینکه رمز عبور خود را به اشتراک بگذارند. به جای اشتراک گذاری اعتبارنامهها، OAuthتوکنهایی (Token) صادر میکرد که دسترسی به منابع خاص را برای مدت معین فراهم میکرد، در نتیجه دسترسی به محدوده مشخصی محدود میشد.
به عنوان مثال، اگر یک کاربر میخواست به یک سرویس ثالثی (همان شبکههای اجتماعی و امثالهم) اجازه دهد تا به فید توییتر (Twitter Feed) او دسترسی داشته باشد، میتوانست آن سرویس را از طریق OAuthمجاز کند و دسترسی آن را تنها به دادههای مجاز توییتر محدود کند، بدون اینکه اطلاعات ورود توییتر خود را به اشتراک بگذارد.
OAuth 2.0 ، نسخههای انعطافپذیرتر و سادهتر از این پروتکل، در سال ۲۰۱۰ معرفی شد. این نسخه، بهبودهای کلیدی زیر را ارائه داد:
1. احراز هویت ساده شده بر اساس توکن: OAuth 2.0 پیادهسازی آن را آسانتر کرد و پیچیدگی مشخصات اصلی را کاهش داد.
2. مجوزهای گرانولار (دقیق): کاربران میتوانستند به بخشهای خاصی از حساب خود، مجوز دسترسی بدهند، مانند دسترسیِ فقط خواندنی به مخاطبین یا مجوز انتشار پست، بدون افشای دسترسی کامل به حساب.
3. امنیت بهتر: OAuth 2.0 امکان ادغام ویژگیهای رمزگذاری قویتر و انقضای توکن را فراهم کرد و امنیت فرآیندهای احراز هویت را بهبود بخشید.
امروزه، OAuth 2.0 ستون اصلی احراز هویت کاربران در بسیاری از سرویسهاست؛ از ورود به شبکههای اجتماعی گرفته تا برنامههای سازمانی. اکثر پلتفرمهای بزرگ مانند گوگل، فیسبوک و توییتر از OAuthاستفاده میکنند تا امکان دسترسی ثالث را بدون نیاز به افشای رمز عبور کاربران فراهم کنند، که به طور قابل توجهی امنیت و تجربه کاربر را بهبود بخشیده است.
منبع : سایت SSO پلاس
نویسنده : مهدی طهماسبی
SSO پلاس، پنجرهای واحد برای و ورود یکباره به سامانهها، امروز بالغ بر ۶میلیون کاربر فعال در حال استفاده از این سامانه هستند و حدود ۵۰ شرکت نرمافزاری به آن متصل شدهاند. اس اس او پلاس توانسته از سال ۱۳۹۹ تاکنون تاییدیه چندین آزمایشگاه امنیت را با موفقیت کسب نماید. اس اس او پلاس یک راهکار نرمافزار سازمانی است که سازمانهای بزرگ و متوسط را در تحقق شکلدهی هویت دیجیتالِ (Digital Identity) کاربران و کارمندان خود، ممکن میسازد. از مهمترین ویژگیهای این راهکار سازمانی وجود فرایندهای متنوع احراز هویت و Multi-Factor Authentication است، همچنین با پیاده سازی ۳ سطحی مجازشماری Authorization ،توانسته است، تمامی نیازهای سازمان را به صورت یکجا محقق نماید .
اطلاعات تماس:
info@ssoplus.ir
+989002271464
