Вы когда-нибудь заходили на сайт с помощью Google, Facebook, LinkedIn или даже Github? А как насчет загрузки файлов на сайт прямо из облака, например, из аккаунта google drive? И то, и другое – это примеры того, как сайты или приложения получают доступ к вашей информации, хранящейся на других сайтах или сервисах. Но как этого добиться, не ставя под угрозу безопасность ваших личных данных и не предоставляя свои учетные данные стороннему приложению? Возьмем, к примеру, Facebook; Facebook может использовать контакты, хранящиеся в вашем аккаунте Google, чтобы найти ваших друзей на платформе. Чтобы Facebook мог получить доступ к вашим контактам и найти ваших друзей, вам необходимо предоставить ему доступ к вашему аккаунту Google.
Несколько лет назад это делалось очень грубо: вы сообщали Facebook адрес электронной почты Google и пароль Gmail, с помощью которых Facebook входил в ваш аккаунт Google под своим именем и получал доступ к вашим контактам. Многие приложения, и не только Facebook, реализовали авторизацию данных пользователя, хранящихся на других сайтах, таким образом. При таком количестве сторонних приложений, реализующих авторизацию таким образом, пользователи оказывались в невыгодном положении, поскольку им приходилось снижать уровень безопасности, чтобы получить доступ к сервисам. Вредоносный разработчик мог легко использовать учетные данные пользователей во вред им. Именно это и привело к необходимости разработки OAuth.
Согласно Internet Engineering Task Force (IETF), OAuth – это система авторизации, позволяющая сторонним приложениям получать доступ к сервису от имени владельца ресурса. OAuth позволяет пользователям предоставлять ограниченный доступ сторонним приложениям. Это позволяет приложениям получить доступ к их онлайн-ресурсам, таким как их профили или личные данные, хранящиеся в другом приложении, без необходимости раскрывать свои учетные данные стороннему приложению, пытающемуся получить доступ к ресурсу.
Это часто называют делегированным доступом, когда пользователи предоставляют сторонним приложениям ограниченный доступ к своим ресурсам, размещенным на другом сервисе, не раскрывая учетные данные пользователей. OAuth 2.0 – это наиболее широко используемая версия протокола OAuth, которая является ключевым компонентом веб-авторизации и аутентификации. OAuth широко используется для аутентификации мобильных приложений, защиты API, обеспечения единого входа в несколько приложений, делегирования доступа для третьих лиц, а также позволяет пользователям управлять и контролировать разрешения, предоставляемые сторонним приложениям.
Преимущества использования платформ OAuth с открытым исходным кодом.
Платформы OAuth с открытым исходным кодом относятся к реализациям стандарта OAuth с открытым исходным кодом. Учитывая, что приложения разрабатываются с использованием различных языков программирования и фреймворков, платформы OAuth предоставляют библиотеки и инструменты, которые позволяют разработчикам легко интегрировать функциональность OAuth в свои приложения. Некоторые из преимуществ использования платформ OAuth с открытым исходным кодом включают:
Качество и прозрачность кода
Платформы с открытым исходным кодом позволяют пользователям получить доступ к их коду. Это выгодно тем, что многие разработчики с широким диапазоном навыков и опыта просматривают код и могут поднимать вопросы, которые они могут заметить в коде. Это помогает обеспечить высокое качество кода без уязвимостей и ошибок. Компании также могут просмотреть код, чтобы определить, насколько хорошо он может удовлетворить их потребности, прежде чем брать на себя обязательства по использованию продукта.
Экономическая эффективность
Программные решения с открытым исходным кодом бесплатны для использования и поэтому могут быть способом для компаний сэкономить на расходах, которые они понесли бы, используя собственные платформы OAth. Это дает возможность даже компаниям без больших бюджетов обеспечить безопасность своих пользователей.
Избежать привязки к поставщику
При использовании OAuth-провайдеров с открытым исходным кодом вы можете легко переключаться между различными OAuth-провайдерами без необходимости переделывать всю архитектуру вашего приложения под нового поставщика. Решения OAuth с открытым исходным кодом придерживаются общепринятых стандартов, что позволяет им обеспечивать совместимость и взаимодействие с другими системами. Это позволяет легко переключаться между различными решениями с открытым исходным кодом.
Поддержка сообщества
Решения с открытым исходным кодом часто поддерживаются большим сообществом разработчиков, которые работают над их улучшением и обновлением программного обеспечения. Это гарантирует, что программное обеспечение не только работает со многими инструментами, которые используют разработчики, но и проблемы с программным обеспечением могут быть решены быстрее, поскольку обязательно найдется кто-то, знакомый с программным обеспечением, готовый помочь.
Ключевые критерии для оценки платформ OAuth с открытым исходным кодом
Некоторые из ключевых факторов, которые необходимо учитывать при оценке платформы OAuth с открытым исходным кодом, включают:
Меры безопасности и шифрования
Важно, чтобы используемое вами решение OAuth с открытым исходным кодом имело надежные меры безопасности и шифрования. Это связано с тем, что платформы обрабатывают конфиденциальные данные пользователей и ресурсы доступа. Платформа должна поддерживать безопасную связь, а также предоставлять механизмы для защиты маркеров доступа.
Простота интеграции и удобные для разработчиков API
Поскольку платформы OAuth интегрируются в приложения, очень важно, чтобы решение OAuth предлагало понятные и интуитивно понятные API, документацию и комплекты для разработки программного обеспечения (SDK), которые упрощают процесс интеграции. Конечные точки платформы также должны быть хорошо документированы с примерами кода и библиотеками для популярных языков программирования и фреймворков.
Поддержка сообщества и активное развитие
Сильное активное сообщество пользователей и разработчиков ресурсов с открытым исходным кодом указывает на здоровую среду вокруг ресурсов. В данном случае это означает, что OAuth постоянно совершенствуется и используется. Кроме того, активное сообщество может предоставить полезные ресурсы и поддержку, которые могут помочь вам в понимании и использовании решения OAuth с открытым исходным кодом.
Масштабируемость и производительность
Приложения часто имеют растущую пользовательскую базу, поскольку все больше людей знакомятся с приложением. Поэтому важно, чтобы любое используемое вами решение OAuth поддерживало масштабирование по мере роста пользовательской базы, а также было способно обрабатывать большое количество одновременных запросов.
Возможности настройки и расширяемости
Решение OAuth должно быть хорошо настраиваемым, чтобы адаптироваться к различным бизнес-требованиям и логике широкого круга пользователей. Проще говоря, компании не должны строить свою логику вокруг платформы OAuth. Вместо этого решение OAuth должно быть достаточно настраиваемым и расширяемым, чтобы его можно было внедрить без изменения бизнес-логики. Это может быть достигнуто за счет возможности добавления пользовательских потоков аутентификации, утверждений и атрибутов пользователя. Принимая во внимание вышеизложенные соображения, вот некоторые из лучших решений OAuth с открытым исходным кодом, которые можно использовать в вашем следующем проекте:
Лучших решения OAuth с открытым исходным кодом
SuperTokens
SuperTokens – это провайдер авторизации с открытым исходным кодом, который широко используется такими стартапами, как HackeRank, Skoot и Food Market Hub, а также инженерами, работающими в таких компаниях, как Google, Amazon и Meta, среди прочих. SuperTokens предоставляет высоконастраиваемые, расширяемые и переопределяемые компоненты, которые позволяют пользователям легко интегрировать аутентификацию пользователей в свои приложения.
SuperTokens не только легко и быстро интегрируется, но и предлагает готовые пользовательские интерфейсы для страниц регистрации и функциональности аутентификации пользователей. Пользователи также могут быстро создавать свои собственные логины, используя вспомогательные функции, поставляемые с SuperTokens. Используя SuperTokens, вы реализуете вход по паролю электронной почты, социальный вход с использованием OAuth и вход в приложения без пароля. Вы также можете использовать социальный вход и вход по паролю электронной почты на одном экране входа для ваших приложений.
Cerbos
Cerbos – это масштабируемая платформа авторизации с открытым исходным кодом, не зависящая от языка, которая была признана Business Wire лучшей в области безопасности API в 2022 году. Cerbos, представляющая собой уровень авторизации для реализации ролей и разрешений, работает с различными поставщиками идентификационных данных, включая Auth0, Magic, WorkOS, Okta, FusionAuth и другие.
Cerbos позволяет вам централизованно управлять логикой авторизации во всех ваших приложениях и мгновенно вносить изменения в то, как ваши приложения обрабатывают авторизацию и аутентификацию. Кроме того, Cerbos предлагает контекстно-зависимые определения ролей и атрибутов и предоставляет API, не зависящий от языка, который можно использовать в любом технологическом стеке. Ко всему прочему, Cerbos не имеет статусов и может быть размещен на бессерверных платформах, в любом публичном или частном облаке или даже в частном центре обработки данных.
Passport
Passport – это очень популярное промежуточное ПО аутентификации для фреймворка Node.js, которое аутентифицирует входящие запросы в приложениях, построенных с бэкендом Node.js. Аутентификация выполняется с помощью плагинов, известных как стратегии. Passport предоставляет разработчикам крючки для управления действиями, которые будут предприняты при неудачной или успешной аутентификации.
Passport предлагает более 500 стратегий аутентификации и позволяет осуществлять единую регистрацию с помощью OpenID и OAuth. Он также поддерживает постоянные сессии, динамическую область действия и разрешения, реализацию пользовательских стратегий и простую обработку успехов и неудач при аутентификации. Кроме того, Passport.js не монтирует маршруты в приложениях Node.js и не предполагает какой-либо определенной схемы базы данных, что позволяет разработчику принимать все решения на уровне приложения.
Auth.js
Auth.js – это решение для аутентификации с открытым исходным кодом, которое работает с различными фронтенд-фреймворками, включая Next.js, SvelteKit, SolidStart и другие. Auth.js разработан для работы с различными версиями OAuth. Он поддерживает аутентификацию без статических данных с любым бэкендом, аутентификацию по электронной почте/без пароля, а также JSON Web Tokens вместе с сессиями базы данных. Хотя Auth.js был разработан для бессерверных архитектур, его можно запустить где угодно, включая AWS Lambda, Docker, Heroku и другие.
Auth.js также гарантирует пользователям контроль над их данными и может работать без базы данных, несмотря на встроенную поддержку популярных баз данных, таких как MySQL, Postgres, MongoDB, SQLite, MariaDB и Microsoft SQL Server. Auth.js использует токены для подделки межсайтовых запросов (CSRF) на маршрутах POST, шифрует JSON веб-токены и автоматически генерирует симметричные ключи подписи и шифрования для удобства разработчиков.
Keycloak
Keycloak – это очень популярное решение для управления идентификацией и доступом с открытым исходным кодом. Keycloak – это решение, основанное на стандартных протоколах и поддерживающее OAuth 2.0, Security Assertion Markup Language (SAML) и OpenID Connect. Будучи решением с открытым исходным кодом, Keycloak очень легко интегрируется и поставляется с такими функциями, как Single-Sign-On, которая позволяет пользователям входить в несколько приложений через один вход в Keycloak.
Это также выгодно разработчикам, поскольку им не нужно заниматься аутентификацией и хранением данных пользователей, а также создавать формы входа в свои приложения. Еще одна область, в которой KeyCloak сияет, – это простота интеграции с приложениями. KeyCloak позволяет легко добавить возможность входа в приложения с помощью социальных сетей без необходимости изменения приложения или кода.
Все это делается через консоль администратора, где вы также можете настроить дополнительные функции KeyCloak, такие как объединение пользователей и посредничество в идентификации. С помощью консоли администратора вы также можете создавать и управлять приложениями и сервисами и точно настраивать политики авторизации.
Apereo CAS
Apereo CAS – это решение для единой регистрации с открытым исходным кодом и провайдер идентификации. CAS поддерживает широкий спектр протоколов аутентификации, включая OAuth 2.0, SAML, OpenID, REST, WS-Federation и другие. CAS поставляется со встроенной поддержкой управления паролями, уведомлений, условий использования и имперсонации.
CAS также поддерживает подключаемую аутентификацию, делегированную аутентификацию внешним провайдерам идентификации, таким как Facebook, Twitter и OpenID Connect, и многофакторную аутентификацию с помощью таких провайдеров, как Google Authenticator, Authy, YubiKey, Acceptto и Inwebo, среди прочих. Для использования CAS лучше всего использовать его с официально поддерживаемыми клиентскими платформами, которые включают Java, .NET, Apache и PHP.
Ory Kratos
Ory Kratos – это надежная и многофункциональная система управления пользователями, ориентированная на облако. Хотя Ory Kratos написана на языке Go, она поставляется с SDK для любого языка программирования, а также с настраиваемыми входами, регистрациями и управлением профилем. Кроме того, Ory Kratos может работать с любым фреймворком пользовательского интерфейса и требует минимального количества кода для настройки.
Среди особенностей Ory Kratos можно отметить многофакторную аутентификацию с помощью различных провайдеров, самообслуживание при входе и регистрации, вход в социальные сети, проверку и восстановление учетных записей, а также управление пользователями. Управление пользователями позволяет создавать, обновлять и удалять идентификаторы и их данные в вашей базе пользователей. Наконец, Ory Kratos позволяет использовать настраиваемые модели идентификации, где вы можете создавать собственные интерфейсы и определять пользовательские поля, такие как имена, адреса или любимые питомцы.
Logto
Согласно документации, Logto является экономически эффективной альтернативой с открытым исходным кодом Auth0, которая представляет собой проприетарное решение для аутентификации и авторизации. Logto предлагает все функции, необходимые для безопасной аутентификации и авторизации, по более доступным ценам. Logto поставляется с готовым к использованию API управления, который можно использовать в качестве провайдера аутентификации. Он также имеет SDK, позволяющие легко и быстро интегрировать Logto в любое создаваемое вами приложение.
Для аутентификации используется OpenID Connect (OIDC), расширяющий протокол авторизации OAuth 2.0, а для авторизации – управление доступом на основе ролей (RBAC). С помощью LogTo ваши приложения могут реализовать социальную авторизацию без пароля и иметь возможность работать с пользователями, которые забыли свои учетные данные для входа. Чтобы сделать разработку еще проще и быстрее, LogTo предлагает красивые готовые компоненты пользовательского интерфейса с настраиваемым CSS. Пользователи также получают доступ к своей облачной платформе, где они могут настраивать, интегрировать и предварительно просматривать аутентификацию, которую они внедряют в свое приложение.
Заключение
При внедрении аутентификации и авторизации в ваше приложение существует множество решений с открытым исходным кодом, которые сэкономят вам и вашему бизнесу массу денег. Рассмотрите любое из решений, представленных в статье, чтобы защитить свой бизнес и важные данные пользователей.
