← Назад ко всем вопросам

Как работает OAuth2

1️⃣ Как кратко ответить

OAuth2 — это протокол авторизации, который позволяет приложениям получать ограниченный доступ к ресурсам пользователя на сервере без передачи пароля. Он использует токены доступа, которые выдаются после успешной аутентификации пользователя и могут быть использованы для доступа к защищенным ресурсам.

2️⃣ Подробное объяснение темы

OAuth2 — это протокол, который решает проблему безопасного доступа к ресурсам пользователя на сторонних сервисах. Он позволяет приложениям (клиентам) получать доступ к ресурсам пользователя, хранящимся на сервере (ресурс-сервере), без необходимости передачи пароля пользователя. Это достигается через использование токенов доступа.

Основные компоненты OAuth2

  1. Ресурс-сервер (Resource Server): Сервер, который хранит защищенные ресурсы. Например, API, предоставляющее доступ к данным пользователя.

  2. Клиент (Client): Приложение, которое хочет получить доступ к ресурсам пользователя. Например, мобильное приложение или веб-сайт.

  3. Авторизационный сервер (Authorization Server): Сервер, который отвечает за аутентификацию пользователя и выдачу токенов доступа.

  4. Ресурсный владелец (Resource Owner): Пользователь, который владеет ресурсами и может предоставить доступ к ним.

Потоки авторизации

OAuth2 поддерживает несколько потоков авторизации, каждый из которых подходит для разных сценариев:

  • Authorization Code Flow: Используется для серверных приложений. Клиент получает код авторизации, который затем обменивается на токен доступа.
  • Implicit Flow: Используется для клиентских приложений, таких как SPA (Single Page Applications). Токен доступа выдается напрямую.
  • Resource Owner Password Credentials Flow: Используется, когда клиенту доверяют, и он может хранить учетные данные пользователя.
  • Client Credentials Flow: Используется для серверов, когда доступ к ресурсам не связан с конкретным пользователем.

Пример работы OAuth2

Рассмотрим Authorization Code Flow, который наиболее часто используется для веб-приложений:

  1. Запрос авторизации: Клиент перенаправляет пользователя на авторизационный сервер с запросом на доступ к ресурсам. Запрос включает в себя идентификатор клиента и URL для перенаправления после авторизации.

    GET /authorize?response_type=code&client_id=CLIENT_ID&redirect_uri=REDIRECT_URI&scope=read

  2. Аутентификация пользователя: Пользователь аутентифицируется на авторизационном сервере и соглашается предоставить доступ.

  3. Получение кода авторизации: После успешной аутентификации пользователь перенаправляется обратно на клиентское приложение с кодом авторизации.

    GET /callback?code=AUTHORIZATION_CODE

  4. Обмен кода на токен доступа: Клиент отправляет код авторизации на авторизационный сервер, чтобы обменять его на токен доступа.

    POST /token
Content-Type: application/x-www-form-urlencoded
​
grant_type=authorization_code&code=AUTHORIZATION_CODE&redirect_uri=REDIRECT_URI&client_id=CLIENT_ID&client_secret=CLIENT_SECRET

  5. Получение токена доступа: Авторизационный сервер проверяет код и выдает токен доступа.

    {
  "access_token": "ACCESS_TOKEN",
  "token_type": "Bearer",
  "expires_in": 3600,
  "refresh_token": "REFRESH_TOKEN"
}

  6. Доступ к ресурсам: Клиент использует токен доступа для доступа к защищенным ресурсам на ресурс-сервере.

    GET /resource
Authorization: Bearer ACCESS_TOKEN

Зачем нужен OAuth2

OAuth2 обеспечивает безопасный и стандартизированный способ предоставления доступа к ресурсам без передачи паролей. Это особенно важно для защиты данных пользователей и предотвращения несанкционированного доступа. Протокол широко используется в современных веб-приложениях и API, таких как Google, Facebook, и других, для интеграции с внешними сервисами.

Тема: Безопасность
Стадия: Tech

🔒 Подпишись на бусти автора и стань Алигатором, чтобы получить полный доступ к функционалу сайта и отслеживать свой прогресс!

Твои заметки