1. JSON Web Tokens (JWT): Αυτός είναι ο πιο διαδεδομένος τύπος ελέγχου ταυτότητας που βασίζεται σε συμβολικά σήμερα. Οι JWTs είναι αυτοτελείς και υπογεγραμμένες ψηφιακά, που περιέχουν αξιώσεις (πληροφορίες σχετικά με τον χρήστη και τον έλεγχο ταυτότητας).
* Παράδειγμα Σενάριο: Ένας χρήστης συνδέεται σε μια εφαρμογή ιστού με το όνομα χρήστη και τον κωδικό πρόσβασής του. Ο διακομιστής επαληθεύει τα διαπιστευτήρια και, μετά την επιτυχία, εκδίδει ένα JWT. Ο πελάτης περιλαμβάνει στη συνέχεια αυτό το JWT στην επικεφαλίδα «εξουσιοδότηση» των επακόλουθων αιτημάτων (π.χ., «Εξουσιοδότηση:Βοηθός
* Παραλλαγές: Τα JWTs μπορούν να χρησιμοποιηθούν με διαφορετικούς αλγόριθμους υπογραφής (π.χ. HS256, RS256), επηρεάζοντας την ασφάλεια και την πολυπλοκότητα των βασικών διαχείρισης.
2. Oauth 2.0 Στοιχεία πρόσβασης: Το OAuth 2.0 είναι ένα πλαίσιο εξουσιοδότησης, όχι ένα πρωτόκολλο ελέγχου ταυτότητας. Ωστόσο, χρησιμοποιεί συνήθως μάρκες για εξουσιοδότηση.
* Παράδειγμα Σενάριο: Ένας χρήστης θέλει να έχει πρόσβαση σε έναν προστατευμένο πόρο στην υπηρεσία Α (π.χ., το Google Drive) χρησιμοποιώντας μια εφαρμογή τρίτου μέρους (υπηρεσία B, π.χ., επεξεργαστής φωτογραφιών). Ο χρήστης πιστοποιεί με την υπηρεσία A (π.χ. Google) και επιχορηγεί την άδεια Β για πρόσβαση σε συγκεκριμένους πόρους. Υπηρεσία A Εκδίδει ένα διακριτικό πρόσβασης στην υπηρεσία B. Service B χρησιμοποιεί αυτό το διακριτικό πρόσβασης για να υποβάλει αιτήματα στο API της Υπηρεσίας Α για λογαριασμό του χρήστη, χωρίς να χρειάζεται να χειριστεί άμεσα τα διαπιστευτήρια του χρήστη. Αυτό χρησιμοποιείται ευρέως για κοινωνικές συνδέσεις και ενσωματώσεις API. Τα μάρκες ανανέωσης χρησιμοποιούνται συχνά για την επέκταση της διάρκειας ζωής των μαρκών πρόσβασης.
3. API Keys: Ενώ είναι απλούστερη από την JWTS, τα κλειδιά API είναι μια μορφή ελέγχου ταυτότητας που χρησιμοποιείται συχνά για επικοινωνία με μηχανές σε μηχανική. Είναι συνήθως μεγάλες, τυχαία παραγόμενες χορδές.
* Παράδειγμα Σενάριο: Μια εφαρμογή για κινητά πρέπει να έχει πρόσβαση σε μια υπηρεσία backend. Η εφαρμογή έχει εκχωρηθεί ένα κλειδί API κατά τη διάρκεια της ανάπτυξης. Η εφαρμογή περιλαμβάνει το πλήκτρο API σε κάθε αίτημα προς την υπηρεσία Backend, συνήθως ως παράμετρο ή κεφαλίδα ερωτήματος. Αυτό είναι λιγότερο ασφαλές από το JWTS λόγω της έλλειψης λήξης και δυσκολίας της ανάκλησης.
4. Tokens Session (cookies): Αν και δεν είναι αυστηρά "βασισμένα σε συμβολικά" με την έννοια των JWTs, τα μάρκες συνεδρίασης, που συχνά αποθηκεύονται ως cookies, λειτουργούν με παρόμοια αρχή. Μετά την επιτυχή σύνδεση, ένας διακομιστής δημιουργεί ένα μοναδικό αναγνωριστικό περιόδου σύνδεσης (διακριτικό) και το στέλνει στον πελάτη ως cookie. Ο πελάτης περιλαμβάνει αυτό το cookie σε επόμενα αιτήματα και ο διακομιστής το χρησιμοποιεί για να προσδιορίσει τη συνεδρία του χρήστη. Αυτό χρησιμοποιείται συνήθως σε εφαρμογές ιστού, αλλά είναι ευάλωτο σε διάφορες επιθέσεις, εκτός εάν είναι σωστά εξασφαλισμένες (π.χ. χρησιμοποιώντας HTTPs και ασφαλείς σημαίες μπισκότων).
Βασικές διαφορές και σκέψεις:
* Ασφάλεια: Τα JWTs προσφέρουν καλύτερα χαρακτηριστικά ασφαλείας (ψηφιακές υπογραφές, χρόνοι λήξης) σε σύγκριση με απλά κλειδιά API ή μάρκες περιόδου σύνδεσης.
* πολυπλοκότητα: Η εφαρμογή JWT μπορεί να είναι πιο περίπλοκη από τη χρήση απλούστερων μεθόδων όπως τα κλειδιά API.
* ανάκληση: Η ανάκληση JWTs μπορεί να είναι προκλητική, ενώ τα μάρκες που βασίζονται σε συνεδρίες είναι ευκολότερα ακυρωθούν.
* Επιμελητικότητα: Ο έλεγχος ταυτότητας με βάση το Token γενικά κλιμακώνεται καλύτερα από τις προσεγγίσεις που βασίζονται σε συνεδρίες.
Στην ουσία, οποιοδήποτε σύστημα όπου ένας πελάτης λαμβάνει ένα μοναδικό αναγνωριστικό (διακριτικό) για να αποδείξει την ταυτότητά του και να αποκτήσει πρόσβαση σε πόρους μετά από μια αρχική διαδικασία ελέγχου ταυτότητας μπορεί να θεωρηθεί ως μορφή ελέγχου ταυτότητας που βασίζεται σε διακριτικά. Ο συγκεκριμένος τύπος διακριτικού και η εφαρμογή του θα διαφέρουν σημαντικά με βάση τις ανάγκες ασφαλείας και τις αρχιτεκτονικές επιλογές.
Πνευματικά δικαιώματα © Γνώση Υπολογιστών Όλα τα δικαιώματα κατοχυρωμένα