OAuth 2.0 простым и понятным языком / Хабр
На хабре уже писали про OAuth 1.0, но понятного объяснения того, что такое OAuth 2.0 не было. Ниже я расскажу, в чем отличия и преимущества OAuth 2.0 и, как его лучше использовать на сайтах, в мобильных и desktop-приложениях.
Что такое OAuth 2.0
OAuth 2.0 — протокол авторизации, позволяющий выдать одному сервису (приложению) права на доступ к ресурсам пользователя на другом сервисе. Протокол избавляет от необходимости доверять приложению логин и пароль, а также позволяет выдавать ограниченный набор прав, а не все сразу.
Чем отличаются OpenID и OAuth
Не смотря на то, что объяснений на эту тему уже было много, она по-прежнему вызывает некоторое непонимание.
OpenID предназначен для аутентификации — то есть для того, чтобы понять, что этот конкретный пользователь является тем, кем представляется. Например, с помощью OpenID некий сервис Ололо может понять, что зашедший туда пользователь, это именно Рома Новиков с Mail.
Ru. При следующей аутентификации Ололо сможет его опять узнать и понять, что, это тот же Рома, что и в прошлый раз.
OAuth же является протоколом авторизации, то есть позволяет выдать права на действия, которые сам Ололо сможет производить в Mail.Ru от лица Ромы. При этом Рома после авторизации может вообще не участвовать в процессе выполнения действий, например, Ололо сможет самостоятельно заливать фотографии на Ромин аккаунт.
Как работает OAuth 2.0
Как и первая версия, OAuth 2.0 основан на использовании базовых веб-технологий: HTTP-запросах, редиректах и т. п. Поэтому использование OAuth возможно на любой платформе с доступом к интернету и браузеру: на сайтах, в мобильных и desktop-приложениях, плагинах для браузеров…
Ключевое отличие от OAuth 1.0 — простота. В новой версии нет громоздких схем подписи, сокращено количество запросов, необходимых для авторизации.
Общая схема работы приложения, использующего OAuth, такова:
- получение авторизации
- обращение к защищенным ресурсам
Результатом авторизации является access token — некий ключ (обычно просто набор символов), предъявление которого является пропуском к защищенным ресурсам.
Обращение к ним в самом простом случае происходит по HTTPS с указанием в заголовках или в качестве одного из параметров полученного access token‘а.
В протоколе описано несколько вариантов авторизации, подходящих для различных ситуаций:
- авторизация для приложений, имеющих серверную часть (чаще всего, это сайты и веб-приложения)
- авторизация для полностью клиентских приложений (мобильные и desktop-приложения)
- авторизация по логину и паролю
- восстановление предыдущей авторизации
Авторизация для приложений, имеющих серверную часть
- Редирект на страницу авторизации
- На странице авторизации у пользователя запрашивается подтверждение выдачи прав
- В случае согласия пользователя, браузер редиректится на URL, указанный при открытии страницы авторизации, с добавлением в GET-параметры специального ключа — authorization code
- Сервер приложения выполняет POST-запрос с полученным authorization code в качестве параметра.
Это самый сложный вариант авторизации, но только он позволяет сервису однозначно установить приложение, обращающееся за авторизацией (это происходит при коммуникации между серверами на последнем шаге). Во всех остальных вариантах авторизация происходит полностью на клиенте и по понятным причинам возможна маскировка одного приложения под другое. Это стоит учитывать при внедрении OAuth-аутентификации в API сервисов.
Пример
Здесь и далее примеры приводятся для API Mail.Ru, но логика одинаковая для всех сервисов, меняются только адреса страниц авторизации. Обратите внимание, что запросы надо делать по HTTPS
.Редиректим браузер пользователя на страницу авторизации:
> GET /oauth/authorize?response_type=code&client_id=464119&
redirect_uri=http%3A%2F%2Fexample.com%2Fcb%2F123 HTTP/1. 1
> Host: connect.mail.ru
1
> Host: connect.mail.ru
Здесь и далее, client_id и client_secret — значения, полученные при регистрации приложения на платформе.
После того, как пользователь выдаст права, происходит редирект на указанный redirect_uri:
< HTTP/1.1 302 Found < Location: http://example.com/cb/123?code=DoRieb0y
Обратите внимание, если вы реализуете логин на сайте с помощью OAuth, то рекомендуется в redirect_uri добавлять уникальный для каждого пользователя идентификатор для предотвращения CSRF-атак (в примере это 123). При получении кода надо проверить, что этот идентификатор не изменился и соответствует текущему пользователю.
Используем полученный code для получения access_token, выполняя запрос с сервера:
> POST /oauth/token HTTP/1.1 > Host: connect.mail.ru > Content-Type: application/x-www-form-urlencoded > > grant_type=authorization_code&client_id=464119&client_secret=deadbeef&code=DoRieb0y& redirect_uri=http%3A%2F%2Fexample.
com%2Fcb%2F123
< HTTP/1.1 200 OK
< Content-Type: application/json
<
< {
< "access_token":"SlAV32hkKG",
< "token_type":"bearer",
< "expires_in":86400,
< "refresh_token":"8xLOxBtZp8",
< }
Обратите внимание, что в последнем запросе используется client_secret, который в данном случае хранится на сервере приложения, и подтверждает, что запрос не подделан.
В результате последнего запроса получаем сам ключ доступа (access_token), время его «протухания» (expires_in), тип ключа, определяющий как его надо использовать, (token_type) и refresh_token о котором будет подробнее сказано ниже. Дальше, полученные данные можно использовать для доступа к защищенным ресурсам, например, API Mail.Ru:
> GET /platform/api?oauth_token=SlAV32hkKG&client_id=464119&format=json&method=users.getInfo&
sig=... HTTP/1.1
> Host: appsmail.ru
Описание в спецификации
Авторизация полностью клиентских приложений
- Открытие встроенного браузера со страницей авторизации
- У пользователя запрашивается подтверждение выдачи прав
- В случае согласия пользователя, браузер редиректится на страницу-заглушку во фрагменте (после #) URL которой добавляется access token
- Приложение перехватывает редирект и получает access token
Этот вариант требует поднятия в приложении окна браузера, но не требует серверной части и дополнительного вызова сервер-сервер для обмена authorization code на access token.
Пример
Открываем браузер со страницей авторизации:
> GET /oauth/authorize?response_type=token&client_id=464119 HTTP/1.1 > Host: connect.mail.ru
После того, как пользователь выдаст права, происходит редирект на стандартную страницу-заглушку, для Mail.Ru это connect.mail.ru/oauth/success.html:
< HTTP/1.1 302 Found
< Location: http://connect.mail.ru/oauth/success.html#access_token=FJQbwq9&token_type=bearer&
expires_in=86400&refresh_token=yaeFa0gu
Приложение должно перехватить последний редирект, получить из адреса acess_token и использовать его для обращения к защищенным ресурсам.
Описание в спецификации
Авторизация по логину и паролю
Авторизация по логину и паролю представляет простой POST-запрос, в результате которого возвращается access token. Такая схема не представляет из себя ничего нового, но вставлена в стандарт для общности и рекомендуется к применению только, когда другие варианты авторизации не доступны.
Пример
> POST /oauth/token HTTP/1.1 > Host: connect.mail.ru > Content-Type: application/x-www-form-urlencoded > > grant_type=password&client_id=31337&client_secret=deadbeef&[email protected]& password=qwerty < HTTP/1.1 200 OK < Content-Type: application/json < < { < "access_token":"SlAV32hkKG", < "token_type":"bearer", < "expires_in":86400, < "refresh_token":"8xLOxBtZp8", < }
Описание в спецификации
Восстановление предыдущей авторизации
Обычно, access token имеет ограниченный срок годности. Это может быть полезно, например, если он передается по открытым каналам. Чтобы не заставлять пользователя проходить авторизацию после истечения срока действия access token‘а, во всех перечисленных выше вариантах, в дополнение к access token‘у может возвращаться еще refresh token. По нему можно получить access token с помощью HTTP-запроса, аналогично авторизации по логину и паролю.
Пример
> POST /oauth/token HTTP/1.1
> Host: connect.mail.ru
> Content-Type: application/x-www-form-urlencoded
>
> grant_type=refresh_token&client_id=31337&client_secret=deadbeef&refresh_token=8xLOxBtZp8
< HTTP/1.1 200 OK
< Content-Type: application/json
<
< {
< "access_token":"Uu8oor1i",
< "token_type":"bearer",
< "expires_in":86400,
< "refresh_token":"ohWo1ohr",
< }
Описание в спецификации
Минусы OAuth 2.0
Во всей этой красоте есть и ложка дегтя, куда без нее?
OAuth 2.0 — развивающийся стандарт. Это значит, что спецификация еще не устоялась и постоянно меняется, иногда довольно заметно. Так, что если вы решили поддержать стандарт прямо сейчас, приготовьтесь к тому, что его поддержку придется подпиливать по мере изменения спецификации. С другой стороны, это также значит, что вы можете поучаствовать в процессе написания стандарта и внести в него свои идеи.
Безопасность OAuth 2.0 во многом основана на SSL. Это сильно упрощает жизнь разработчикам, но требует дополнительных вычислительных ресурсов и администрирования. Это может быть существенным вопросом в высоко нагруженных проектах.
Заключение
OAuth — простой стандарт авторизации, основанный на базовых принципах интернета, что делает возможным применение авторизации практически на любой платформе. Стандарт имеет поддержку крупнейших площадок и очевидно, что его популярность будет только расти. Если вы задумались об API для вашего сервиса, то авторизация с использованием OAuth 2.0 — хороший выбор.
Со своей стороны, мы внедрили OAuth 2.0 в API Mail.Ru и, теперь, вы можете использовать возможности протокола для реализации любых клиентов и сервисов, интегрированных с Mail.Ru.
Ссылки
- Текущая версия драфта стандарта OAuth 2.0
- Официальный сайт OAuth
- Рабочая группа по выработке стандарта (архивы)
- Документация по реализации OAuth 2. 0 в Mail.Ru
0 в Mail.RuДмитрий Битман — менеджер Платформы@Mail.Ru
Регистрационные данные на декабрь 2022 года
ActionBattle RoyaleНовости
Probal Datta20 декабря 2022 г. Последнее обновление: 22 декабря 2022 г.
0 Прочитано 2 минуты
Изображение через ГаренаКаждые два месяца запускается последняя версия Free Fire , флагманской игры Garena . Хотя обновления OB идут первыми, Advanced Server изначально распространяется. Как обычно, грядущий сервер Free Fire OB38 Advance Server начал принимать регистрации, поскольку готовится к повторному открытию для тестирования.
Расширенный сервер в основном используется активными тестировщиками, чтобы сообщать об ошибках и предлагать программистам предложения. Кроме того, участники получат возможность опробовать ряд функций, которые еще не были добавлены в основную игру.
Здесь мы подробно расскажем о сервере Free Fire OB38 Advance и о том, как зарегистрироваться на декабрь 2022 года, чтобы упростить вам задачу.
Этапы регистрации для сервера Free Fire OB38 Advanced на декабрь 2022 г.
Началась регистрация для нового сервера OB38 Advanced. Регистрация на сервере Advanced бесплатна для всех, и каждый пользователь может зарегистрироваться на нем. Однако у игроков есть ограниченное количество слотов для доступа к Расширенному серверу, и не каждый пользователь получит к нему доступ.
Изображение через GarenaТолько зарегистрированные пользователи могут играть на Advance Server, как указано ранее. Таким образом, чтобы зарегистрироваться на расширенном сервере, игрокам нужно выполнить всего несколько простых шагов:
1. Войдите на веб-сайт регистрации
Нажмите на эту ссылку, чтобы перейти на страницу регистрации. Это официальный веб-сайт расширенного сервера, где вы позже заполните некоторые детали. Найдите «Войти через Facebook» и нажмите на нее.
2. Создайте профиль, войдя в систему через Facebook
Далее вам нужно войти только через Facebook с привязанной учетной записью Free Fire . Следующим шагом будет ввод имени, контактного адреса электронной почты и номера телефона, после чего вы будете перенаправлены на страницу загрузки APK.
3. Загрузите APK-файл для Free Fire OB38
После успешного ввода всех полей должна появиться страница загрузки APK-клиента со ссылкой на файл .apk . Вот и все! Теперь подождите Код активации и затем вы можете запустить Расширенный сервер Free Fire OB38 .
Игроки могут легко зарегистрироваться, введя свой идентификатор Gmail и внутриигровой UID, которые в основном используются для отправки кода активации расширенного сервера и получения вознаграждения за обнаружение ошибок/глюков. Если во время установки вам сообщают, что произошла ошибка при синтаксическом анализе пакета, вы можете повторно скачать APK и повторить шаги еще раз.
Нет необходимости удалять оригинальный Free Fire, поскольку расширенный сервер рассматривается как отдельное приложение. Убедитесь, что у вас достаточно памяти и места для хранения. Это связано с ожидаемым размером APK более 1 ГБ. Кроме того, все игроки будут заблокированы после завершения периода расширенного тестирования сервера, но вы по-прежнему сможете использовать свою учетную запись для игры в основную игру.
Когда выйдет обновление Free Fire OB38
Выпуск обновлений за день до завершения текущего сезона рейтинговых отрядов Contra был характерен для более ранних обновлений. Игроки должны помнить, что из-за интенсивного технического обслуживания, как упоминалось в предыдущих обновлениях, игровые серверы не будут доступны в день обновления. Обновление часто доступно для загрузки в Apple App Store и Google Play Store через несколько часов после перерыва. Однако пока перерыв не закончится, игроки не смогут насладиться новыми функциями.
Считаете ли вы эту статью Регистрация Free Fire OB38 Advance Server на декабрь 2022 года полезной? Пишите свои мнения в комментариев !
Чтобы узнать больше новостей и обновлений Mobile Gaming, присоединяйтесь к нашей группе WhatsApp , группе Telegram или серверу Discord . Кроме того, следите за нами в Google News , Instagram, и Twitter , чтобы получать быстрые обновления.
Хотите узнать больше?
Подпишитесь на нашу рассылку, чтобы получать новые обновления!
и станьте одним из первых, кто прочитает статью
Статьи по теме
Кнопка «Вернуться к началу»
Байден прав, чтобы «беспокоиться» по поводу расследования Республиканской партии в Афганистане
Мы много слышали о расследованиях и публичных слушаниях, к которым готовятся республиканцы в Палате представителей, готовясь взять на себя большинство полномочий в январе. Республиканская партия готова использовать свои новые полномочия, чтобы задавить администрацию Байдена расследованиями всего, от ее реакции на Covid до поведения министерства юстиции и скандала с Хантером Байденом. Согласно Washington Post Однако одно расследование вызвало у Белого дома больше беспокойства, чем другие: расследование Республиканской партией катастрофического ухода Америки из Афганистана. Администрация Байдена должна быть обеспокоена.
Источники в администрации, которые разговаривали с репортерами Post , обеспокоены эксгумацией этой уродливой главы в американской истории под руководством Республиканской партии, главным образом потому, что ее нельзя сбрасывать со счетов как безвкусную политику. Действительно, Белый дом Байдена, кажется, больше всего заинтересован в политике этого вопроса. Расследование, вероятно, будет активизироваться «как раз тогда, когда президент Байден начнет свою кампанию по переизбранию» в начале 2023 года.0053 Сообщение сообщило. Один неназванный чиновник администрации возмутился тем, что «точка, в которой рейтинг одобрения президента упал, была связана с Афганистаном, так что это напоминает худший момент».
В то время как эти источники также настаивают на том, что администрация готова защищать свою репутацию, демократы в Конгрессе этого не делают. «Я надеюсь, что мы опровергнем эту совершенно ложную, выдуманную версию о том, что существует способ покинуть Афганистан в условиях непредвиденного краха афганского правительства в одночасье, причем аккуратно и аккуратно», — заявил журналистам сенатор Крис Мерфи. Если администрации удастся убедить общественность в том, что у Америки есть только два варианта: безукоризненный вывод войск или фиаско, в результате которого погибло множество американцев и их союзников, это станет победой Белого дома. Байден и его союзники, скорее всего, будут делать акцент на своих намерениях, а не на действиях. Этого будет совершенно недостаточно, если республиканцы зададут правильные вопросы.
Администрация Байдена изначально установила благоприятную дату 11 сентября 2021 года в качестве крайнего срока для полного вывода средств. В конце концов, администрация перенесла вывод войск на 31 августа, прежде чем обвинить во всем этом Дональда Трампа, который первоначально договорился с талибами об окне вывода в середине мая. Именно эта спешка — спешка, которую они унаследовали, как утверждают союзники Байдена, — способствовала тому, что администрация не смогла вовремя выслать из страны всех американских гражданских лиц, владельцев грин-карт и союзников США. Но это не имеет особого смысла. Это становится еще более бессмысленным из-за решения администрации отдать приоритет выводу военных, а не эвакуации гражданских лиц. Итак, кто первым призвал вывести армию и почему?
4 июля 2021 года посольство Государственного департамента США в Кабуле заявило, что оно «открыто и останется открытым». Кроме того, «не было планов закрыть посольство» и были «хорошо разработанные планы безопасности для безопасной защиты нашего персонала и объектов». Джо Байден излучал аналогичную уверенность 8 июля, когда сказал, что «вероятность того, что талибы захватят все и завладеют всей страной, крайне маловероятна». Но в показаниях перед Конгрессом глава Госдепартамента Энтони Блинкен заявил, что сокращение персонала посольства началось в апреле, и «19«конкретные сообщения» были отправлены гражданам и постоянным жителям США с предупреждением о необходимости покинуть страну в период с марта до падения Кабула в августе. Кто был автором этих противоречивых сообщений? И какую роль они сыграли в том, чтобы убедить американцев оставаться позади того, что вскоре станет линией врага?
Если уж на то пошло, сколько американцев вообще осталось позади? В течение нескольких недель после завоевания Афганистана талибами официальные лица администрации признавали лишь около 100–200 или около того отставших, большинство из которых винили в своем затруднительном положении только самих себя. Но в тот же период администрация держала журналистов в курсе усилий как государственных органов, так и частных предприятий по вывозу американцев и их союзников из страны, и в некоторых отчетах указывается, что целых 9000 остались позади. Итак, какова цифра и почему это считается приемлемой стоимостью этой политики?
Какие варианты были представлены президенту Байдену, которые могли бы позволить Соединенным Штатам сохранить контроль над авиабазой Баграм, откуда могла быть достижима эвакуация всех американцев и их афганских союзников? Что привело Белый дом к выводу, что он может заключить соглашение в наших «взаимных интересах» с талибами, чтобы обеспечить безопасность вокруг гражданского аэропорта Кабула? Какое военное присутствие было бы необходимо, чтобы предотвратить гибель 13 морских пехотинцев США, и почему это было неприемлемо для Белого дома?
«Мы видели, в том числе совсем недавно, как талибы отступали от своего обязательства, которое они взяли на себя, чтобы девочки могли ходить в школу после шестого класса», — разочарованно сказал министр. Блинкен сказал сенаторам в апреле. Тем временем талибы отказались не только от своего обещания предоставить женщинам доступ к среднему и непрерывному образованию, но и вообще к любому образованию.
