Přihlásili jste se někdy na web pomocí Google, Facebooku, LinkedIn nebo dokonce Github? Co takhle nahrát soubory na web přímo z vašeho cloudu, jako je váš účet na Disku Google?
Oba jsou příklady webových stránek nebo aplikací, které získaly přístup k vašim informacím uloženým na jiných webových stránkách nebo službách. Jak toho ale dosáhnout, aniž by došlo k ohrožení bezpečnosti vašich osobních údajů a abyste své přihlašovací údaje poskytli aplikaci třetí strany?
Vezměte si například Facebook; Facebook může použít kontakty uložené ve vašem účtu Google k nalezení vašich přátel na platformě. Aby měl Facebook přístup k vašim kontaktům a mohl najít vaše přátele, musíte mu udělit přístup ke svému účtu Google.
Před několika lety to bylo provedeno velmi hrubým způsobem, kdy jste dali Facebooku svou e-mailovou adresu Google a heslo k Gmailu, které by použil k přihlášení k vašemu účtu Google jako vy a přístupu ke svým kontaktům. Mnoho aplikací, a to nejen Facebook, takto implementovalo autorizaci uživatelských dat uložených na jiných webech.
S tolika aplikacemi třetích stran implementujícími autorizaci tímto způsobem měli uživatelé kratší konec, protože museli ohrozit svou bezpečnost, aby měli přístup ke službám. Škodlivý vývojář by mohl snadno zneužít přihlašovací údaje uživatelů ke škodě uživatelů. To si vyžádalo vývoj OAuth.
Podle Internet Engineering Task Force (IETF) je OAuth autorizační rámec, který umožňuje aplikacím třetích stran získat přístup ke službě jménem vlastníka zdroje. OAuth umožňuje uživatelům udělit omezený přístup k aplikacím třetích stran.
To umožňuje aplikacím přistupovat ke svým online zdrojům, jako jsou jejich profily nebo osobní údaje uložené v jiné aplikaci, aniž by musely sdělovat své přihlašovací údaje aplikaci třetí strany, která se pokouší získat přístup ke zdroji.
To se často označuje jako delegovaný přístup, kdy uživatelé poskytují aplikacím třetích stran omezený přístup ke svým zdrojům hostovaným v jiné službě, aniž by sdíleli přihlašovací údaje svých uživatelů.
OAuth 2.0 je nejrozšířenější verze protokolu OAuth a je klíčovou součástí webové autorizace a autentizace.
OAuth se široce používá při ověřování mobilních aplikací, zabezpečení API, umožňuje jednotné přihlášení k více aplikacím a delegovaný přístup pro třetí strany a také umožňuje uživatelům spravovat a kontrolovat oprávnění udělená aplikacím třetích stran.
Table of Contents
Výhody používání platforem Open Source OAuth.
Open-source platformy OAuth odkazují na open source implementace standardu OAuth. Vzhledem k tomu, že aplikace jsou vyvíjeny pomocí různých programovacích jazyků a rámců, platformy OAuth poskytují knihovny a nástroje, které vývojářům umožňují snadno integrovat funkce OAuth do jejich aplikací. Některé z výhod používání platforem Open Source OAuth zahrnují:
Kvalita a transparentnost kódu
Open-source platformy umožňují uživatelům přístup k jejich kódu. To je výhodné v tom, že mnoho vývojářů s širokou škálou dovedností a zkušeností prochází kódem a může vyvolat problémy, kterých si mohou v kódu všimnout.
To pomáhá zajistit, že kód je nejvyšší kvality bez zranitelností nebo chyb. Společnosti si také mohou kód projít, aby určily, jak dobře dokáže uspokojit jejich potřeby, než se zaváží k používání produktu.
Efektivita nákladů
Softwarová řešení s otevřeným zdrojovým kódem jsou zdarma k použití, a proto mohou být pro společnosti způsobem, jak ušetřit na nákladech, které by jim vznikly, kdyby se rozhodly pro vlastní platformy OAth. To má tu výhodu, že umožňuje i společnostem bez velkých rozpočtů zajistit, aby nebyla ohrožena bezpečnost jejich uživatelů.
Vyhněte se Vendor Lock-in
Při používání open source poskytovatelů OAuth můžete snadno přepínat mezi různými poskytovateli OAuth, aniž byste museli předělávat celou architekturu aplikace tak, aby odpovídala novému dodavateli.
Open-source řešení OAuth dodržují široce uznávané standardy, což jim umožňuje zajistit kompatibilitu a interoperabilitu s jinými systémy. To usnadňuje přepínání mezi různými open-source řešeními.
Podpora komunity
Open source řešení jsou často podporována velkou komunitou vývojářů, kteří pracují na jejich vylepšení a poskytování aktualizací softwaru. To zajišťuje, že software nejen funguje se spoustou nástrojů, které vývojáři používají, ale také problémy se softwarem lze řešit rychleji, protože se jistě najde někdo obeznámený se softwarem připravený pomoci.
Klíčová kritéria pro hodnocení platforem Open Source OAuth
Některé z klíčových faktorů, které je třeba vzít v úvahu při hodnocení open-source platformy OAuth, zahrnují:
Bezpečnostní a šifrovací opatření
Je důležité, aby open source řešení OAuth, které používáte, mělo pevné vodotěsné zabezpečení a šifrovací opatření.
Je to proto, že platformy zpracovávají citlivá uživatelská data a přístup ke zdrojům. Platforma by měla podporovat zabezpečenou komunikaci a také poskytovat mechanismy pro ochranu přístupových tokenů.
Snadná integrace a vývojářská rozhraní API
Protože jsou platformy OAuth integrovány do aplikací, je prvořadé, aby řešení OAuth nabízelo jasná a intuitivní rozhraní API, dokumentaci a sady pro vývoj softwaru (SDK), které zjednodušují proces integrace.
Koncové body platformy by také měly být dobře zdokumentovány ukázkami kódu a knihovnami pro oblíbené programovací jazyky a rámce.
Podpora komunity a aktivní rozvoj
Silná aktivní komunita uživatelů a přispěvatelů do zdroje s otevřeným zdrojovým kódem naznačuje zdravé prostředí kolem zdrojů. V tomto případě to znamená, že OAuth je neustále vylepšován a používán.
Aktivní komunita vám navíc může poskytnout užitečné zdroje a podporu, která vám může pomoci pochopit a používat řešení OAuth s otevřeným zdrojovým kódem.
Škálovatelnost a výkon
Aplikace mají často rostoucí uživatelskou základnu, protože se s aplikací seznamuje více lidí. Proto je důležité, aby jakékoli řešení OAuth, které používáte, podporovalo škálování s tím, jak se vaše uživatelská základna rozrůstá, a také by mělo být schopno zpracovat velký počet souběžných požadavků.
Možnosti přizpůsobení a rozšiřitelnosti
Řešení OAuth by mělo být vysoce přizpůsobitelné, aby se přizpůsobilo různým obchodním požadavkům a logice širokého spektra uživatelů. Jednoduše řečeno, podniky by neměly stavět svou logiku na platformě OAuth.
Místo toho by řešení OAuth mělo být přizpůsobitelné a dostatečně rozšiřitelné, aby bylo možné jej implementovat bez změny obchodní logiky. Toho lze dosáhnout povolením přidání vlastních ověřovacích toků, nároků a uživatelských atributů.
S ohledem na výše uvedené úvahy zde uvádíme některá z nejlepších open source řešení OAuth, která lze použít ve vašem dalším projektu
SuperTokeny
SuperTokens je poskytovatel přihlášení s otevřeným zdrojovým kódem, který se může pochlubit širokým využitím mezi startupy, jako je HackeRank, Skoot a Food Market Hub, a využívá jej inženýři pracující mimo jiné ve společnostech, jako je Google, Amazon a Meta.
SuperTokens poskytuje vysoce přizpůsobitelné, rozšiřitelné a přepsatelné komponenty, které uživatelům umožňují snadno integrovat ověřování uživatelů do jejich aplikace.
Nejen, že se SuperTokeny snadno a rychle integrují, ale také nabízí předpřipravená uživatelská rozhraní pro přihlašovací stránky a funkci ověřování uživatelů hned po vybalení. Uživatelé mají také svobodu rychle si vytvořit své vlastní přihlášení pomocí pomocných funkcí, které jsou součástí SuperTokenů.
Pomocí SuperTokenů implementujete přihlašování e-mailovým heslem, sociální přihlášení pomocí OAuth a přihlašování do aplikací bez hesla. Na stejné přihlašovací obrazovce pro své aplikace můžete také použít sociální přihlášení a přihlášení pomocí e-mailového hesla.
Cerbos
Cerbos je open source, jazykově agnostická, škálovatelná autorizační platforma, která byla společností Business Wire uznána jako nejlepší v API Security v roce 2022.
Cerbos, což je autorizační vrstva pro implementaci rolí a oprávnění, spolupracuje s řadou poskytovatelů identit, včetně mimo jiné Auth0, Magic, WorkOS, Okta a FusionAuth.
Cerbos vám umožňuje centrálně spravovat autorizační logiku ve všech vašich aplikacích a okamžitě provádět změny v tom, jak vaše aplikace zpracovávají autorizaci a autentizaci.
Kromě toho Cerbos nabízí kontextové definice rolí a atributy a odhaluje jazykové rozhraní API, které lze použít s jakýmkoliv technologickým stackem.
Abychom to omezili, Cerbos je jak bez státní příslušnosti, tak sám hostuje a může být hostován na platformách bez serveru, v jakémkoli veřejném nebo soukromém cloudu nebo dokonce v datovém centru v soukromém vlastnictví.
Cestovní pas
Passport je velmi oblíbený ověřovací middleware pro framework Node.js a ověřuje příchozí požadavky v aplikacích vytvořených s backendem Node.js.
Autentizace se provádí pomocí pluginů známých jako strategie. Passport poskytuje vývojářům háčky pro řízení akcí, které mají být provedeny, když se ověření nezdaří nebo je úspěšné.
Passport nabízí více než 500 strategií ověřování a umožňuje jednotné přihlášení pomocí OpenID a OAuth. Podporuje také trvalé relace, dynamický rozsah a oprávnění, implementaci vlastních strategií a snadné zvládnutí úspěchu a selhání během ověřování.
Passport.js navíc nepřipojuje trasy v aplikacích Node.js a nepředpokládá žádné konkrétní databázové schéma, a tak umožňuje vývojářům činit všechna rozhodnutí na úrovni aplikace.
Auth.js
Auth.js je řešení autentizace s otevřeným zdrojovým kódem, které funguje s řadou frontendových frameworků, mimo jiné včetně Next.js, SvelteKit a SolidStart.
Auth.js je navržen tak, aby fungoval s různými verzemi OAuth. Podporuje bezstavovou autentizaci s jakýmkoli backendem, e-mailovou/bezheslovou autentizaci a webové tokeny JSON spolu s databázovými relacemi.
Přestože byl Auth.js navržen pro architektury bez serverů, lze jej spustit kdekoli, mimo jiné včetně AWS Lambda, Docker a Heroku.
Auth.js také zaručuje uživatelům kontrolu nad jejich daty a může pracovat bez databáze, i když má vestavěnou podporu pro populární databáze, jako je MySQL, Postgres, MongoDB, SQLite, MariaDB a Microsoft SQL Server.
Auth.js používá tokeny Cross-site Request Forgery (CSRF) na trasách POST, šifruje webové tokeny JSON a automaticky generuje symetrické klíče pro podepisování a šifrování pro pohodlí vývojářů.
Klíčenka
Keycloak je velmi oblíbené řešení Open Source Identity and Access Management. Keycloak je řešení založené na standardních protokolech a podporuje OAuth 2.0, Security Assertion Markup Language (SAML) a OpenID Connect.
Jako řešení s otevřeným zdrojovým kódem se Keycloak velmi snadno integruje a přichází s funkcemi, jako je Single-Sign-On, které uživatelům umožňuje přihlásit se do více aplikací prostřednictvím jediného přihlášení do Keycloak.
To také přináší výhody vývojářům v tom, že nemusí být těmi, kdo se zabývají ověřováním a ukládáním uživatelů a vytvářením přihlašovacích formulářů ve svých aplikacích.
Oblastí, kde KeyCloak září, je jeho snadná integrace s aplikacemi. KeyCloak vám umožňuje snadno přidat možnost přihlašování do aplikací pomocí sociálních sítí, aniž byste museli měnit aplikaci nebo kód.
To vše se děje prostřednictvím administrátorské konzole, kde můžete také konfigurovat další funkce Keycloak, jako je federace uživatelů a zprostředkování identity. Prostřednictvím administrátorské konzole můžete také vytvářet a spravovat aplikace a služby a dolaďovat zásady autorizace.
Apereo CAS
Apereo CAS je open source řešení pro jednotné přihlašování a poskytovatel identity. CAS podporuje širokou škálu autentizačních protokolů, mimo jiné včetně OAuth 2.0, SAML, OpenID, REST a WS-Federation.
CAS přichází s vestavěnou podporou pro správu hesel, upozornění, podmínky použití a předstírání identity.
CAS také podporuje zásuvné ověřování, delegované ověřování externím poskytovatelům identity, jako je Facebook, Twitter a OpenID Connect, a vícefaktorové ověřování prostřednictvím poskytovatelů, jako jsou mimo jiné Google Authenticator, Authy, YubiKey, Acceptto a Inwebo.
Chcete-li používat CAS, je nejlepší jej používat s jeho oficiálně podporovanými klientskými platformami, které zahrnují Java, .NET, Apache a PHP.
Ory Kratos
Ory Kratos je robustní a na funkce bohatý systém správy uživatelů, který je určen pro cloud. Přestože je Ory Kratos napsán v Go, přichází se sadami SDK pro každý programovací jazyk spolu s přizpůsobitelným přihlášením, registrací a správou profilů.
Kromě toho může Ory Kratos pracovat s jakýmkoli rámcem uživatelského rozhraní a vyžaduje minimální kód k jeho nastavení.
Mezi některé pozoruhodné funkce, které přichází s Ory Kratos, patří vícefaktorové ověřování u různých poskytovatelů, samoobslužné přihlášení a registrace, přihlášení k sociální síti, ověření a obnovení účtu a správa uživatelů.
Správa uživatelů umožňuje vytváření, aktualizaci a mazání identit a jejich dat ve vaší uživatelské základně. Ory Kratos konečně umožňuje použití přizpůsobitelných modelů identity, kde si můžete vytvořit vlastní rozhraní a definovat vlastní pole, jako jsou jména, adresy nebo oblíbené domácí mazlíčky.
Logto
Podle dokumentace je Logto nákladově efektivní alternativou open source k Auth0, což je proprietární řešení pro ověřování a autorizaci. Logto nabízí všechny funkce potřebné pro bezpečné ověřování a autorizaci za přijatelnější ceny.
Logto přichází s rozhraním API pro správu připraveným k použití, které lze použít jako poskytovatele ověřování. Má také sady SDK, které umožňují snadnou a rychlou integraci Logto s jakoukoli aplikací, kterou vytváříte.
K autentizaci se používá OpenID Connect (OIDC), který rozšiřuje autorizační protokol OAuth 2.0, zatímco k autorizaci se používá Role-based access control (RBAC).
S LogTo mohou vaše aplikace implementovat sociální přihlašování bez hesla a být schopné pracovat s uživateli, kteří zapomněli své přihlašovací údaje. Aby byl vývoj ještě jednodušší a rychlejší, nabízí LogTo krásné předpřipravené komponenty uživatelského rozhraní s přizpůsobitelnými CSS.
Uživatelé také získají přístup ke své cloudové platformě, kde si mohou přizpůsobit, integrovat a zobrazit náhled ověřování, které implementují ve své aplikaci.
Závěr
Při implementaci ověřování a autorizace do vaší aplikace existuje řada open-source řešení, která vám a vaší firmě ušetří spoustu peněz. Zvažte některé z řešení sdílených v tomto článku, abyste zabezpečili svou firmu a důležitá uživatelská data.
Můžete také prozkoumat některé nejlepší platformy pro ověřování uživatelů.