Рубрики
Uncategorized

Базовый аут, самл, ключи, Оат, JWT и токены Quicky

Вот то, что я узнал на прошлой неделе о безопасности. Теги за безопасностью, программированием, дежопами, начинающими.

Вот то, что я узнал на прошлой неделе о безопасности.

Если кто-то пробуждает меня посреди ночи и говорит мне, что у нас есть проблема с Самл и я думаю, что SAML похож на космический корабль Креонов из моей последней мечты, я открою эту записку и узнаю что Это на самом деле механизм аутентификации и авторизации, а не космический корабль Kreon. Или, может быть, это? ;)) . Давайте копать ниже и узнать!

Безопасность — одна из тех тем, где у вас есть так много терминологии происходит, что ощущается, что вам нужно Словарь безопасности Отказ Ниже приведены некоторые из основных терминов и концепций безопасности.

Примечание! Вы уже знаете, что такое безопасность, вам просто нужно подключить пугающие условия к тому, что вы уже знаете о безопасности от реальной жизни!

Проснись! Теперь, что такое SAML!

Безопасность в основном о правильности. Вы хотите быть уверены, кто этот человек/услуг, с которым вы говорите ( аутентификация ). И вы хотите проверить, что личный сервис делает только то, что ему разрешено делать. ( Авторизация )

Мы собираемся быстро отсканировать следующие условия:

1. Basic Authentication => When mama and papa thought about security.
2. SAML => When large corporates thought about security.
3. OAuth 2.0 => The foster child of mama, papa, and large corporates.
4. JWT => The startup kid buying a coffee paying with json
5. Tokens => Trading sheep for online services.
6. Authorization Bearer:  => The all mighty header.
7. Keys and $$$ => Give me the bottom line how do I make $$$ out of security.

Это так же простое, как он получает. Вы спрашиваете, чтобы пользователю или услугу чего-то только он знает, чтобы доказать свою личность. Мы используем имя пользователя и несколько секрет, пароль.

Авторизация: базовая база64 (пользователь, пропуск)

Базовая аутентификация не уточнила, вам нужно зашифровать детали, которые вам просто нужно использовать64 их. Так что это ясный текст.

ClearText! Используйте HTTPS для шифрования

Но, как ясно, вы хотите зашифровать его, иначе кто-то на проводе или кому-либо с доступом к услуге сможет увидеть ваши учетные данные. Таким образом, вы используете шифрование, HTTPS.

Мы закончили с протоколом номером 1 базовой аутентификации. Протокол № 2 Самл Отказ (Язык разметки о защите безопасности).

Аутентификация и авторизация

Думайте, если это как другой протокол для аутентификации (как базовая аутентификация), но он также поддерживает авторизацию. Что означает, что он также скажет, что вам разрешено делать.

XML

Самл был возник в дни, когда XML был королем, поэтому он не удивительный протокол Saml проходит данные для учетных данных и авторизации с XML.

Стороны

В самле у нас есть две стороны.

  1. Поставщик услуг, Вы можете купить кофе из поставщика услуг.
  2. Провайдер идентичности, Вы докажете, кто вы с идентификацией поставщика, сильно отличаются, чем покупать кофе, даже если он пахнет действительно хорош!

Поставщик услуг

Это продуктовый магазин, это заинтересован в продаже мне продуктов, а не о управлении идентификацией, поэтому он будет использовать поставщика идентификации, чтобы идентифицировать меня, чтобы авторизоваться и аутентифицировать меня.

Провайдер идентичности

Поставщик личности — это все о управлении идентичностями и тем, что им разрешено делать.

Обеспечивает стандартное SSO

SAML предоставляет стандарт Единая точка входа Таким образом, вы можете использовать вашу точку зрения, чтобы войти на несколько сайтов, это круто, это так же, как вы используете Google для войти в разные услуги только на этот раз, это SAML-протокол. Вы видите, что вы уже знали, что такое самл.

Аутентификация обменивалась с цифровой подписью XML

Под подписью цифровой подпись это означает, что мы можем доказать, кто подписал ваши данные аутентификации.

Сложный

Последнее, но не менее важное количество SAML является более сложным, чем современные методы SSO, такие как OAUTH 2.0. Так что давайте перейдем к ОАУТ 2.0, не так ли?

Как насчет 1.0 вы спрашиваете? Это было сложнее, поэтому мы переехали на 2.0, где нам нужно сделать меньше операций для нашего аутента

Не аутентификация

Я повторяю OAUTH2.0 не протокол аутентификации Это о авторизации. Это не означает, однако мы не используем ОАУТ для аутентификации, OpenID Это протокол на вершине OAUTT2.0, который служит для аутентификации.

Авторизация

Вы используете OAUTH2.0 для разрешения услуг, чтобы проверить, могут ли вы или услуги уполномоченным выполнять операции.

Http.

OAUTH NAUTH НЕ ВНЕШНЯЕТ НИЧЕГО, ЧТОБЫ НЕ ПРЕДОСТАВЛЯЕТ ВАС, он не требует, оно не требует вас использовать HTTPS или другой механизм шифрования, но вы можете найти себя, используя их, но просто помните, что нет встроенных HTTPS или шифрования внутри протокола сам.

Токены являются новыми полномочиями

Помните учетные данные? имя пользователя Пароль? Забудьте о них, теперь мы используем токены вместо этого. Это то же самое, у вас есть какой-то ключ, который похож на ваше имя пользователя, и у вас есть какой-то секретный ключ, который похож на ваши пароли, Скажем, токены не говорят пароль имени пользователя, хотя оно в значительной степени то же самое Отказ

Изменение от 1.0 Нет необходимости подписывать каждый звонок

В OAUTH 1.0 вам нужно было подписать его вызов OAuth 2.0 упростить его с токеном, предоставленным вам, вы просто проходите по этому токену не нужно в отставке.

Доступ токен и или обновить токен

Вы используете токен доступа и/или токен обновления, чтобы обновить токен доступа .services.

getaccesstoken (освежает)

Таким образом, в основном, чтобы получить новый токен доступа, вы просто называете GetaccessToken с входным обновленным токеном, чтобы получить новый токен доступа для доступа к услугам.

Авторизация: Носитель

В базовой аутентификации, ОАУТ, и куда бы вы ни поехали, вы увидите этот заголовок:

Авторизация: Носитель <Токен доступа>

Вы просто Всегда Используйте этот заголовок для ваших услуг.

Jwt.

Это новый ребенок в городе, и все думают, что он такой милый! Это почему? Из-за этого великого нового изобретения:

Вы не только размещаете авторизацию аутентификации в данные безопасности, которые вы поставили также некоторые реальные данные! Например «И мне разрешено получить бесплатный кофе! — претензия « . Это один из величайших изобретений XXI века (или нет:).

Расширение OAUTH 2.0

JWT просто расширение OAUTH 2.0, так что это как приемный ребенок.

Токен доступа с претензиями

Таким образом, вы можете указать с JWT, что вам разрешено получить бесплатный кофе. Это «разумное» часть претензий.

Авторизация: Носитель

Да, мы снова используем скучно Авторизация: Носитель

Заголовок, полезная нагрузка, подпись

У вас есть 3 части в JWT

  1. Заголовок (метаданные)
  2. Полезная нагрузка (кофе)
  3. Подпись (это я)

HMAC-SHA256.

Это протокол, используемый для хеширования сообщения.

Хэш с секретным ключом для вычисления подписи

HMAC — хеш с секретным ключом для генерации подписей.

Данные API нестандартных данных, распущенные от клиента

Так что JWT о безграждании, вы передаете данные отсюда туда и обратно, все это в JWT

Вместо традиционной сессии на сервере

Вы передаете данные в JWT, поэтому вам меньше нужно хранить данные на сервере.

использование

Для чего мы используем JWT?

Аутентификация

Мы используем его для аутентификации;)

Безопасная информация обмен

Мы используем его, чтобы пройти информацию о безопасности!

Подписано с публичными/частными ключами Подтвердить контент не подделал

Это потому, что мы подписываем данные, поэтому мы знаем, что она не подделана!

Имя пользователя Пароль для машин Отказ Как биткойн до долларов.

Определить звонящего/приложение

Вы можете определить, кто является приложением вызывающего абонента, потому что вы даете каждому звонящему свой ключ.

Монетизировать API

Теперь, когда вы знаете, кто позвонил тебе — вы можете заряжать его $$$ для использования вашего API! (Он использовал ключ API для доступа к вам, он должен заплатить за это).

https://tomer-ben-david.github.io

Оригинал: «https://dev.to/tomerbendavid/my-security-notes-37fh»