Grundlagen von OAuth 2.0
Geschrieben vonOssi Galkin Vor über einer Woche aktualisiertTable of contentsWas ist OAuth 2.0
OAuth 2.0 steht für „Offene Autorisierung”, ist ein offener Standard undAutorisierungsprotokollwurde in erster Linie entwickelt, um eine Standardmethode für die Gewährung des Zugriffs auf eine Reihe von Ressourcen bereitzustellen, z. B. APIs. OAuth 2.0 ist ein Autorisierungsprotokoll und kein Authentifizierungsprotokoll. Es wird verwendet, um Zugriff auf Ressourcen zu gewähren, nicht um zu überprüfen, wer jemand ist.
OAuth 2.0 kann auf verschiedene Arten verwendet werden, beispielsweise um Zugriff auf Frends UI oder Management-APIs zu gewähren. In diesem Kurs geht es darum, wie Sie APIs für Ihre Integrationsanforderungen erstellen, die OAuth 2.0 verwenden. Die verschiedenen Verwendungsmöglichkeiten können zunächst verwirrend erscheinen, aber letztendlich kann OAuth 2.0 überall dort verwendet werden, wo Informationen oder Ressourcen vorhanden sind, die nicht öffentlich sind.
Da OAuth 2.0 ein umfassender Standard ist, der eine Vielzahl von Anwendungsfällen abdeckt, und da im Internet problemlos umfangreiche Ressourcen zu finden sind, die alle Anwendungsfälle erklären, werden in diesem Kurs nur die Grundlagen der Funktionsweise mit Integration behandelt. Außerdem sollte hervorgehoben werden, dass sich OAuth 2.0 fast vollständig vom vorherigen OAuth 1.0 unterscheidet undist nicht abwärtskompatibel.
OAuth 2.0 verwendet Zugriffstoken. Ein Zugriffstoken stellt die Autorisierung für den Zugriff auf Ressourcen dar. Während OAuth 2.0 kein bestimmtes Format für Zugriffstoken definiert, ist das JSON Web Token (JWT)-Format ist für sie ein De-facto-Format.
Wenn Sie debuggen müssen oder einfach nur neugierig sind, was in JWT steckt, gibt es mehrere großartige Websites, wie zum Beispieljwt.iozum Thema.
OAuth 2.0 verwendet mehrere verschiedene Möglichkeiten, genanntfließtoder Grants, um Autorisierungsinformationen zu übertragen. Leider variiert die Terminologie zu diesem Thema zwischen Quellen und Implementierungen. Integrationen arbeiten jedoch auf Servern und können Benutzern keine Authentifizierungsdialoge anzeigen und werden daher als Headless-Maschinen bezeichnet. Dies zu wissen reicht normalerweise aus, um den richtigen Ablauf für eine bestimmte Implementierung von OAuth 2.0 auszuwählen. Normalerweise wird der richtige Ablauf genanntAblauf der Clientanmeldeinformationen.
Wenn Sie mehr wissen möchten, können Sie lernen und testen, wie OAuth 2.0 auf mehreren großartigen Websites funktioniert, wie zum BeispielOAuth-SpielplatzUndoauth.tools.
OAuth 2.0 und Freunde
Anders als die meisten anderen Produkte bietet Frends API-Management-Funktionen und Möglichkeiten zur Implementierung dieser APIs. Daher sind mehrere Schritte erforderlich, um OAuth 2.0 in Ihrer API zum Laufen zu bringen. Die Schritte können in beliebiger Reihenfolge ausgeführt werden.
Zunächst müssen Sie veröffentlichen, dass eine API OAuth 2.0 als sogenanntes Sicherheitsschema verwendethttps://swagger.io/docs/specification/authentication/zur Authentifizierung und Autorisierung. Dies erfordert die Aufnahme in die Open API-Spezifikation. Auf die Details gehen wir später ein.
Zweitens müssen Sie den Identitätsanbieter so konfigurieren, dass Frends den von ihm ausgegebenen Tokens vertraut.
Drittens müssen Sie eine API-Zugriffsrichtlinie definieren, die die gesamte OAuth 2.0-Autorisierung implementiert.
Schließlich müssen Sie die API-Zugriffsrichtlinie mit allen APIs verknüpfen, bei denen sie verwendet werden soll.
Der nächste Artikel istEinführung in die Definition der Verwendung von OAuth 2.0 in der OpenAPI-Spezifikation
Verwandte ArtikelOAuth-Authentifizierung für CData-AufgabenEinführung in die Definition der Verwendung von OAuth 2.0 in der OpenAPI-SpezifikationEinführung in API-ZugriffsrichtlinienSo verwenden Sie den OAuth 2.0-Autorisierungscodefluss mit PKCE in in Frends veröffentlichten APIsSo verwenden Sie den OAuth 2.0-Autorisierungscode in APIs, die in Frends veröffentlicht wurden