OAuth 2.0 এর একাধিক কর্মপ্রবাহ রয়েছে। দুটো সম্পর্কে আমার কয়েকটি প্রশ্ন রয়েছে।

1. অনুমোদনের কোড প্রবাহ - ক্লায়েন্ট অ্যাপ থেকে ব্যবহারকারী লগ ইন করে, অনুমোদন সার্ভার অ্যাপ্লিকেশনটিতে একটি অনুমোদনের কোড ফিরিয়ে দেয়। অ্যাপ্লিকেশন তখন অ্যাক্সেস টোকেনের জন্য অনুমোদনের কোডটি বিনিময় করে।
2. অন্তর্ভুক্ত অনুদান প্রবাহ - ব্যবহারকারী ক্লায়েন্ট অ্যাপ্লিকেশন থেকে লগ ইন, অনুমোদন সার্ভার ক্লায়েন্ট অ্যাপ্লিকেশন সরাসরি একটি অ্যাক্সেস টোকেন ইস্যু করে।

সুরক্ষার ক্ষেত্রে দুটি পদ্ধতির মধ্যে পার্থক্য কী? কোনটি আরও সুরক্ষিত এবং কেন?

যখন সার্ভার সরাসরি অ্যাক্সেস টোকেন জারি করতে পারে তখন একটি কাজের প্রবাহে অতিরিক্ত পদক্ষেপ (টোকেনের জন্য বিনিময় অনুমোদনের কোড) যুক্ত করার কারণ আমি দেখছি না।

বিভিন্ন ওয়েবসাইট বলছে যে ক্লায়েন্ট অ্যাপ্লিকেশন শংসাপত্রগুলি সুরক্ষিত রাখতে পারলে অনুমোদনের কোড প্রবাহ ব্যবহৃত হয়। কেন?

access_tokenকি আপনি সুরক্ষিত রিসোর্স (একটি API এর) কল করতে প্রয়োজন হয়। অনুমোদনের কোড প্রবাহে এটি পাওয়ার জন্য দুটি পদক্ষেপ রয়েছে:

1. ব্যবহারকারীর অবশ্যই প্রযোজ্য এবং codeএপিআই গ্রাহককে ("ক্লায়েন্ট" নামে পরিচিত) ফেরত দিতে হবে ।
2. এপিআইয়ের "ক্লায়েন্ট" (সাধারণত আপনার ওয়েব সার্ভার) codeএকটি জন্য প্রাপ্ত 1 টির বিনিময় করে এবং access_tokenনিজেকে client_idএবং এর সাথে প্রমাণীকরণ করেclient_secret
3. তখনই সহ API কল করতে পারেন access_token।

সুতরাং, একটি ডাবল চেক আছে: ব্যবহারকারী যে এপিআই এবং ক্লায়েন্ট এপিআই ব্যবহার করে (যেমন একটি ওয়েব অ্যাপ্লিকেশন) ব্যবহার করে সেই সংস্থানগুলির মালিকানাধীন। উভয়ই অনুমোদিত হওয়ার অ্যাক্সেসের জন্য বৈধতাপ্রাপ্ত। এখানে ওআউথের "অনুমোদন" প্রকৃতিটি লক্ষ্য করুন: ব্যবহারকারী তার codeঅ্যাপ্লিকেশনটিতে ( প্রমাণীকরণের পরে প্রত্যাবর্তনের মাধ্যমে ) তার রিসোর্সে অ্যাক্সেস মঞ্জুর করে , অ্যাপটি পেয়ে access_tokenযায় এবং ব্যবহারকারীর পক্ষে ফোন করে।

অন্তর্নিহিত প্রবাহে, পদক্ষেপ 2 বাদ দেওয়া হয়েছে। সুতরাং ব্যবহারকারীর প্রমাণীকরণের পরে, একটি access_tokenসরাসরি ফিরে আসে, যা আপনি সংস্থান অ্যাক্সেস করতে ব্যবহার করতে পারেন। এপিআই কে জানে না কে এই এপিআই কল করছে। যে কেউ access_tokenপারবেন, যদিও পূর্ববর্তী উদাহরণে কেবলমাত্র ওয়েব অ্যাপ্লিকেশনটি (এটি অভ্যন্তরীণভাবে কারও কাছে অ্যাক্সেসযোগ্য নয়)।

অন্তর্নিহিত প্রবাহটি সাধারণত দৃশ্যে ব্যবহৃত হয় যেখানে স্টোর করা হয় client idএবং client secretএটির প্রস্তাব দেওয়া হয় না (উদাহরণস্বরূপ একটি ডিভাইস, যদিও অনেকে যাইহোক এটি করেন)। এই দাবি অস্বীকার মানে কি। লোকেরা ক্লায়েন্ট কোডে অ্যাক্সেস পায় এবং তাই শংসাপত্রগুলি পেতে এবং সংস্থান ক্লায়েন্ট হওয়ার ভান করতে পারে। অন্তর্নিহিত প্রবাহে সমস্ত ডেটা অস্থির এবং অ্যাপে সঞ্চিত কিছু নেই।

আমি এখানে এমন কিছু যুক্ত করব যা আমি মনে করি না যে উপরের উত্তরগুলিতে পরিষ্কার হয়ে গেছে:

• অনুমোদন-কোড-প্রবাহ চূড়ান্ত অ্যাক্সেস-টোকেনটিকে ব্রাউজার / অ্যাপ্লিকেশন দিয়ে মেশিনে কখনও পৌঁছাতে এবং সংরক্ষণ করার অনুমতি দেয় । অস্থায়ী অনুমোদন-কোডটি ব্রাউজার / অ্যাপ্লিকেশন সহ মেশিনে দেওয়া হয়, যা পরে সার্ভারে প্রেরণ করা হয়। সার্ভারটি তখন এটি সম্পূর্ণ অ্যাক্সেস টোকেনের সাথে বিনিময় করতে পারে এবং এপিআইগুলিতে অ্যাক্সেস পেতে পারে।
• অন্তর্নিহিত প্রবাহ কেবল দুটি পক্ষকেই জড়িত করতে পারে এবং চূড়ান্ত অ্যাক্সেস টোকন ব্রাউজার / অ্যাপ্লিকেশন সহ ক্লায়েন্টে সঞ্চয় করা হয়। যদি এই ব্রাউজার / অ্যাপ্লিকেশনটি আপোষ করা হয় তবে তাদের লেখক-টোকেন যা বিপজ্জনক হতে পারে।

TL; ড আপনি হোল্ড টোকেন ব্যবহারকারীদের মেশিন বিশ্বাস করতে পারি না অন্তর্নিহিত প্রবাহ ব্যবহার করবেন না কিন্তু আপনি কি আপনার নিজের সার্ভার আমাদের বিশ্বাস করেন।

উভয়ের মধ্যে পার্থক্য হ'ল:

1. অন্তর্নিহিত প্রবাহে, টোকন সরাসরি "#" চিহ্নের মাধ্যমে ইউআরএল পুনর্নির্দেশের মাধ্যমে ফিরে আসে এবং এটি বেশিরভাগ জাভাস্ক্রিপ্ট ক্লায়েন্ট বা মোবাইল অ্যাপ্লিকেশনগুলিতে ব্যবহৃত হয় যার নিজস্ব সার্ভার সাইড নেই এবং ক্লায়েন্টকে কিছু বাস্তবায়নে তার গোপনীয়তা সরবরাহ করার প্রয়োজন হয় না ।

2. অনুমোদনের কোড প্রবাহে, কোডটি "দিয়ে ফিরে আসে?" সার্ভারের পাশ দিয়ে পঠনযোগ্য হওয়ার জন্য সার্ভার সাইডকে এই সময় ক্লায়েন্ট সিক্রেট সরবরাহ করতে হবে অনুমোদনের সার্ভার থেকে জেসন অবজেক্ট হিসাবে টোকেন পেতে টোকেন ইউআরএলকে client আপনার কাছে এমন অ্যাপ্লিকেশন সার্ভার রয়েছে যা ব্যবহারকারীর নিজের সিস্টেমটিতে এটি ব্যবহার করতে এবং ব্যবহারকারীর টোকেনটিকে নিজের সিস্টেমে সংরক্ষণ করতে পারে এবং বেশিরভাগ সাধারণ মোবাইল অ্যাপ্লিকেশনগুলির জন্য ব্যবহৃত হয়।

সুতরাং এটি আপনার ক্লায়েন্ট অ্যাপ্লিকেশনটির প্রকৃতির উপর নির্ভর করে যা ক্লায়েন্টের গোপনীয়তার অনুরোধ হিসাবে এটি আরও সুরক্ষিত "অনুমোদন কোড" এবং টোকেনটি খুব সুরক্ষিত সংযোগে অনুমোদনের সার্ভার এবং ক্লায়েন্ট অ্যাপ্লিকেশনের মধ্যে প্রেরণ করা যেতে পারে এবং অনুমোদনের সরবরাহকারী কিছু ক্লায়েন্টকে কেবল "অনুমোদন কোড" ব্যবহার করতে এবং নিষেধাজ্ঞাকে নিষিদ্ধ করার জন্য সীমাবদ্ধ করুন

অন্তর্ভুক্ত অনুদান দুটি স্বতন্ত্র পার্থক্য সহ অনুমোদনের কোড অনুদানের অনুরূপ।

এটি ব্যবহারকারী-এজেন্ট-ভিত্তিক ক্লায়েন্টদের (যেমন একক পৃষ্ঠার ওয়েব অ্যাপ্লিকেশন) এর জন্য ব্যবহার করার উদ্দেশ্যে যা অ্যাপ্লিকেশন কোড এবং স্টোরেজগুলির সমস্ত সহজেই অ্যাক্সেসযোগ্য।

দ্বিতীয়ত অনুমোদনের সার্ভারের পরিবর্তে কোনও অ্যাক্সেস টোকেনের বিনিময় হওয়া কোনও অনুমোদনের কোডটি ফেরত দেওয়ার পরিবর্তে, অনুমোদনের সার্ভারটি অ্যাক্সেস টোকেন দেয় returns

দয়া করে এখানে বিশদটি আবিষ্কার করুন http://oauth2.thephpleague.com/authorization-server/Wich-grant/

অন্তর্নিহিত প্রবাহ

সুবিধাদি

• কার্যকর করা সহজ

অসুবিধেও

• ব্রাউজারে দৃশ্যমান অ্যাক্সেস টোকেন
• অ্যাক্সেস টোকেনগুলির উত্স নির্ধারণ করা যায় না
• অ্যাক্সেস টোকেনগুলির মেয়াদ শেষ হতে পারে না (গুগল নীতি দ্বারা)

অনুমোদনের কোড প্রবাহ

সুবিধাদি

• সর্বাধিক সুরক্ষিত
• কোনও ভাগ করা গোপনীয়তা জানা থাকলেই অ্যাক্সেস টোকেন এবং রিফ্রেশ টোকেন তৈরি করা যায়
• নতুন সিকিউরিটি এবং ইউএক্স বৈশিষ্ট্যগুলি উপলভ্য হলে এগুলি বাড়ানো যেতে পারে

অসুবিধেও

• একাধিক লেখার শেষ পয়েন্টগুলি প্রয়োগ করতে হবে

প্রশংসাপত্র: https://developers.google.com/ferences/develop/identity/oauth2-overview#supported_oauth_20_ প্রবাহ

উপরের উত্তরগুলি থেকে আমি যে পয়েন্টগুলি শিখেছি তার সংক্ষিপ্ত বিবরণ এবং আমার নিজের কিছু বোঝাপড়া যুক্ত করুন।

অনুমোদনের কোড প্রবাহ !!!

• আপনার যদি এমন একটি ওয়েব অ্যাপ্লিকেশন সার্ভার থাকে যা OAuth ক্লায়েন্ট হিসাবে কাজ করে
• আপনি যদি দীর্ঘকালীন অ্যাক্সেস রাখতে চান
• আপনি যদি ডেটাতে অফলাইন অ্যাক্সেস রাখতে চান
• যখন আপনি এপিআই কলগুলির জন্য দায়বদ্ধ হন যা আপনার অ্যাপ্লিকেশনটি করে
• আপনি যদি নিজের OAuth টোকেনটি ফাঁস করতে না চান
• আপনি যদি না চান যে আপনার অ্যাপ্লিকেশনটি প্রতিবার ডেটা অ্যাক্সেসের প্রয়োজন হলে অনুমোদনের প্রবাহের মধ্য দিয়ে চলুক। দ্রষ্টব্য: অন্তর্ভুক্ত গ্রান্ট প্রবাহটি রিফ্রেশ টোকেনকে বিনোদন দেয় না তাই যদি অনুমোদন সার্ভারটি নিয়মিত অ্যাক্সেস টোকেনের মেয়াদ শেষ করে, আপনার অ্যাপ্লিকেশনটিকে যখনই অ্যাক্সেসের প্রয়োজন হবে তখন অনুমোদনের প্রবাহের মধ্য দিয়ে চলতে হবে।

অন্তর্নিহিত অনুদান প্রবাহ !!!

• যখন আপনার কাছে OAuth ক্লায়েন্ট হিসাবে কাজ করার জন্য ওয়েব অ্যাপ্লিকেশন সার্ভার নেই
• আপনার যদি দীর্ঘকালীন অ্যাক্সেসের প্রয়োজন না হয় তবে কেবলমাত্র ডেটাতে অস্থায়ী অ্যাক্সেস প্রয়োজন।
• আপনার অ্যাপ্লিকেশনটি চালিত ব্রাউজারটিতে যদি আপনি বিশ্বাস করেন এবং অ্যাক্সেস টোকেনটি অবিশ্বস্ত ব্যবহারকারীদের কাছে ফাঁস হয়ে যাবে এমন সীমিত উদ্বেগ রয়েছে।

কোনটি আরও সুরক্ষিত এবং কেন?

উভয়ই সুরক্ষিত, এটি আপনি যে পরিবেশটি ব্যবহার করছেন তার উপর নির্ভর করে।

যখন সার্ভার সরাসরি অ্যাক্সেস টোকেন জারি করতে পারে তখন একটি কাজের প্রবাহে অতিরিক্ত পদক্ষেপ (টোকেনের জন্য বিনিময় অনুমোদনের কোড) যুক্ত করার কারণ আমি দেখছি না।

এটা সহজ. আপনার ক্লায়েন্ট নিরাপদ নয়। এর বিশদ বিবরণ দেখুন।

আপনি এর বিরুদ্ধে একটি অ্যাপ্লিকেশন বিকাশ করছেন তা বিবেচনা করুন Instagram API, সুতরাং আপনার অ্যাপ্লিকেশনটি আপনার সাথে নিবন্ধভুক্ত করুন Instagramএবং যা API'sআপনার প্রয়োজন তা নির্ধারণ করুন । Instagramআপনাকে সরবরাহ করবে client_idএবংclient_secrect

আপনার ওয়েবসাইটে আপনি একটি লিঙ্ক সেট আপ করেছেন যা বলে। "আমার অ্যাপ্লিকেশনটি আসুন এবং ব্যবহার করুন"। এটিতে আপনার ওয়েব অ্যাপ্লিকেশনটিতে ক্লিক করার জন্য দুটি কল করা উচিত Instagram API।

FirstInstagram Authentication Serverনীচের পরামিতিগুলির সাথে একটি অনুরোধ প্রেরণ করুন ।

1. `response_type` with the value `code`
2. `client_id` you have get from `Instagram`
3. `redirect_uri` this is a url on your server which do the second call
4. `scope` a space delimited list of scopes
5. `state` with a CSRF token. 

আপনি প্রেরণ করবেন নাclient_secret , আপনি ক্লায়েন্টকে বিশ্বাস করতে পারেন নি (ব্যবহারকারী এবং তার ব্রাউজার যা আপনাকে অ্যাপ্লিকেশনটি ব্যবহার করার চেষ্টা করে)। ক্লায়েন্টটি ইউআরএল বা জাভা স্ক্রিপ্ট দেখতে এবং আপনার client_secrectসহজেই খুঁজে পেতে পারে। এজন্য আপনার আরও একটি পদক্ষেপ দরকার।

আপনি একটি codeএবং state। codeএখানে temporaryএবং কোন যেখানে সংরক্ষিত হয় না।

তারপরে আপনি একটি secondকল করেন Instagram API(আপনার সার্ভার থেকে)

 1. `grant_type` with the value of `authorization_code`
 2. `client_id` with the client identifier
 3. `client_secret` with the client secret
 4. `redirect_uri` with the same redirect URI the user was redirect back to
 5. `code` which we have already received.

আমাদের সার্ভার থেকে কল করার সাথে সাথে আমরা নিরাপদে ব্যবহার করতে পারি client_secret(যা আমরা কেমন তা দেখায়) codeযা দেখায় যে ব্যবহারকারী client_idসংস্থানটি ব্যবহার করতে মঞ্জুর করেছেন ।

প্রতিক্রিয়া আমাদের হবে access_token

ব্যবহারিক দৃষ্টিকোণ থেকে (আমি যা বুঝতে পেরেছিলাম), আথজ কোড প্রবাহের মূল কারণটি হ'ল:

1. রিফ্রেশ টোকেনের জন্য সমর্থন (ব্যবহারকারীর পক্ষে অ্যাপ্লিকেশনগুলির দ্বারা দীর্ঘমেয়াদী অ্যাক্সেস), অন্তর্নিহিতভাবে সমর্থিত নয়: দেখুন: https://tools.ietf.org/html/rfc6749#section-4.2
2. সম্মতি পৃষ্ঠার জন্য সমর্থন যা এমন এক স্থান যেখানে সংস্থান সংস্থানকারীরা কী অ্যাক্সেস সরবরাহ করতে পারে তা নিয়ন্ত্রণ করতে পারে (গুগলে আপনি যেভাবে অনুমতি / অনুমোদনের পৃষ্ঠায় দেখেন)। নিখুঁতভাবে একই নেই। বিভাগটি দেখুন: https://tools.ietf.org/html/rfc6749#section-4.1 , পয়েন্ট (বি)

"অনুমোদন সার্ভারটি রিসোর্স মালিককে (ব্যবহারকারী-এজেন্টের মাধ্যমে) প্রমাণীকরণ করে এবং সংস্থান করে যে ক্লায়েন্টের অ্যাক্সেসের অনুরোধটি মঞ্জুর করে বা অস্বীকার করে"

তা ছাড়া, রিফ্রেশ টোকেন ব্যবহার করে অ্যাপ্লিকেশনগুলি ব্যবহারকারী ডেটাতে দীর্ঘমেয়াদী অ্যাক্সেস পেতে পারে।

দুটি মূল পয়েন্ট রয়েছে বলে মনে হচ্ছে, এখনও অবধি আলোচনা করা হয়নি, যা কেন অনুমোদন কোড অনুদানের ধরণে সুরক্ষা যোগ করে তা ব্যাখ্যা করে।

সংক্ষিপ্ত গল্প : অনুমোদনের কোড অনুদানের ধরণটি ব্রাউজারের ইতিহাস থেকে সংবেদনশীল তথ্য রাখে এবং টোকেনের সংক্রমণ কেবলমাত্র অনুমোদনের সার্ভারের এইচটিটিপিএস সুরক্ষার উপর নির্ভর করে।

দীর্ঘ সংস্করণ:

নিম্নলিখিতগুলিতে, আমি আরএফসি-তে সংজ্ঞায়িত OAuth 2 পরিভাষাটির সাথে আটকে থাকব (এটি একটি দ্রুত পঠনযোগ্য): রিসোর্স সার্ভার , ক্লায়েন্ট , অনুমোদন সার্ভার , সংস্থান মালিক ।

আপনি গুগল অ্যাকাউন্টের (= রিসোর্স সার্ভার) নির্দিষ্ট ডেটা অ্যাক্সেস করার জন্য কিছু তৃতীয় পক্ষের অ্যাপ্লিকেশন (= ক্লায়েন্ট) চান তা কল্পনা করুন। আসুন ধরে নেওয়া যাক গুগল OAuth 2 ব্যবহার করে You

প্রথমে ক্লায়েন্ট আপনাকে গুগল অনুমোদনের সার্ভারের সুরক্ষিত ইউআরএল প্রেরণ করতে একটি ব্রাউজার খুলবে। তারপরে আপনি অ্যাক্সেসের জন্য অনুরোধটি অনুমোদন করেছেন এবং অনুমোদনের সার্ভার আপনাকে ক্লায়েন্টের পূর্বে প্রদত্ত পুনর্নির্দেশ URL এ क्वेরি স্ট্রিংয়ের অনুমোদনের কোডটি পাঠিয়ে দেয়। এখন দুটি মূল পয়েন্টের জন্য:

1. এই পুনর্নির্দেশের URL টি ব্রাউজারের ইতিহাসে শেষ হয় । সুতরাং আমরা এখানে দীর্ঘকালীন, সরাসরি ব্যবহারযোগ্য অ্যাক্সেস টোকেন চাই না। স্বল্পকালীন অনুমোদনের কোডটি ইতিহাসে কম বিপজ্জনক। লক্ষ্য করুন অন্তর্নিহিত গ্রান্ট টাইপ করে ইতিহাসে টোকেন করা।
2. এই পুনঃনির্দেশের সুরক্ষা গুগলের শংসাপত্রে নয়, ক্লায়েন্টের এইচটিটিপিএস শংসাপত্রের উপর নির্ভর করে । সুতরাং আমরা অতিরিক্ত আক্রমণকারী ভেক্টর হিসাবে ক্লায়েন্টের সংক্রমণ সুরক্ষা পাই (এটি অনিবার্য হওয়ার জন্য, ক্লায়েন্টটির নন-জাভাস্ক্রিপ্ট হওয়া দরকার otherwise ইমপ্লিপড গ্রান্ট টাইপ, যা কোনও খণ্ড ইউআরএল ব্যবহার করে, এটি জাভাস্ক্রিপ্ট ক্লায়েন্টদের জন্য সুপারিশ করা হতে পারে, যদিও এর পরে আর নেই।)

অনুমোদনের কোড গ্রান্ট প্রকারের সাথে টোকনটি অবশেষে ক্লায়েন্টের কাছ থেকে অনুমোদনের সার্ভারে কল পেয়ে আসে, যেখানে সংক্রমণ সুরক্ষা কেবল ক্লায়েন্টের উপর নয়, অনুমোদনের সার্ভারের উপর নির্ভর করে ।