ওআউথ ২.০ বেরিয়ার টোকেন ঠিক কী?

মতে RFC6750 বিয়ারার টোকেন ব্যবহার, বাহক হয় টোকেন: স্বয়ংক্রিয়ভাবে OAuth এর 2.0 অনুমোদন ফ্রেমওয়ার্ক:

টোকেনের দখলে থাকা কোনও পক্ষ ("" ধারক ") যে সংস্থার মালিকানাধীন অন্য কোনও পক্ষ যেভাবেই টোকনটি ব্যবহার করতে পারে সেই সম্পত্তির সাথে সুরক্ষা টোকেন।

আমার কাছে এই সংজ্ঞাটি অস্পষ্ট এবং আমি কোনও স্পেসিফিকেশন পাই না।

• ধরুন আমি কোনও অনুমোদন প্রদানকারীকে প্রয়োগ করছি, আমি কি বাহক টোকেনের জন্য কোনও ধরণের স্ট্রিং সরবরাহ করতে পারি?
• এটি একটি এলোমেলো স্ট্রিং হতে পারে?
• এটি কিছু বৈশিষ্ট্যের একটি বেস 64 এনকোডিং হতে হবে?
  এটা করা উচিত?
• এবং এই টোকেনটি বৈধ করার জন্য পরিষেবা সরবরাহকারীকে কি অনুমোদন প্রদানকারীকে জিজ্ঞাসা করা দরকার?

যে কোনও পয়েন্টারের জন্য আপনাকে ধন্যবাদ।

বহনকারী টোকেন
এই সুরক্ষার সাথে টোকেনের মালিকানাধীন যে কোনও পক্ষ ("" ধারক ") তার দখলে থাকা অন্য কোনও পক্ষ যেভাবেই টোকনটি ব্যবহার করতে পারে সেই সম্পত্তির সাথে টোকেন। ক্রিপ্টোগ্রাফিক কী উপাদান (প্রমাণ-অফ-দখল) দখল প্রমাণ করার জন্য বহনকারী টোকেন ব্যবহারের জন্য বাহক প্রয়োজন হয় না।

বিয়ারার টোকেন প্রমাণীকরণ সার্ভার দ্বারা আপনার জন্য তৈরি করা হয়েছে। যখন কোনও ব্যবহারকারী আপনার অ্যাপ্লিকেশনটিকে (ক্লায়েন্ট) প্রমাণীকরণ করে তবে প্রমাণীকরণের সার্ভারটি গিয়ে আপনার জন্য একটি টোকেন তৈরি করে। বহনকারী টোকেনগুলি OAuth 2.0 এর সাথে ব্যবহৃত প্রকারের অ্যাক্সেস টোকেন। একজন বহনকারী টোকেন মূলত "এই টোকেন অ্যাক্সেসের বাহককে দিন" বলে।

বিয়ারার টোকেন সাধারণত প্রমাণীকরণ সার্ভার দ্বারা তৈরি এক ধরণের অস্বচ্ছ মান। এটি এলোমেলো নয়; এটি আপনাকে অ্যাক্সেস দেওয়ার ব্যবহারকারী এবং ক্লায়েন্টকে আপনার অ্যাপ্লিকেশন অ্যাক্সেস দিচ্ছে তার ভিত্তিতে এটি তৈরি করা হয়েছে।

উদাহরণস্বরূপ কোনও এপিআই অ্যাক্সেস করার জন্য আপনাকে অ্যাক্সেস টোকন ব্যবহার করতে হবে। অ্যাক্সেস টোকেনগুলি স্বল্পস্থায়ী হয় (প্রায় এক ঘন্টা)। নতুন এক্সেস টোকেন পেতে আপনি বাহক টোকেন ব্যবহার করেন use অ্যাক্সেস টোকেন পেতে আপনি নিজের ক্লায়েন্ট আইডির সাথে এই বহনকারী টোকেনকে প্রমাণীকরণের সার্ভারটি পাঠান। এইভাবে সার্ভারটি জানে যে বহনকারী টোকেন ব্যবহার করে অ্যাপ্লিকেশনটি একই অ্যাপ্লিকেশনটির জন্য বহনকারী টোকেন তৈরি হয়েছিল। উদাহরণ: আমি কেবল আপনার অ্যাপ্লিকেশনের জন্য তৈরি একটি বাহক টোকেন নিতে পারি না এবং এটি আমার প্রয়োগের সাথে এটি ব্যবহার করতে পারে না কারণ এটি আমার জন্য উত্পন্ন হয়নি।

গুগল রিফ্রেশ টোকেন এর মতো দেখতে দেখতে: 1 / mZ1edKKACtPAb7zGlwSzvs72PvhAbGmB8K1ZrGxpcNM

মন্তব্য থেকে অনুলিপি করা: আমি মনে করি না যে আপনি সরবরাহকারী টোকেনগুলিতে কোনও বিধিনিষেধ রয়েছে। আমি কেবল যে জিনিসটি ভাবতে পারি তা হ'ল এটির পক্ষে একাধিকটিকে অনুমতি দেওয়া ভাল। উদাহরণস্বরূপ কোনও ব্যবহারকারী 30 বার পর্যন্ত অ্যাপ্লিকেশনটিকে প্রমাণীকরণ করতে পারবেন এবং পুরানো ধারক টোকেনগুলি এখনও কাজ করবে। ওহ এবং যদি 6 মাস বলার জন্য যদি কেউ ব্যবহার না করা হয় তবে আমি এটি আপনার সিস্টেম থেকে সরিয়ে ফেলব। এটি আপনার প্রমাণীকরণের সার্ভার যা এগুলি উত্পন্ন করতে হবে এবং তাদের যাচাই করতে হবে যাতে এটির ফর্ম্যাট কীভাবে আপনার উপর নির্ভর করে।

হালনাগাদ:

বিয়ারার টোকেন প্রতিটি ইনলাইন অ্যাকশন HTTP অনুরোধের অনুমোদনের শিরোনামে সেট করা থাকে। উদাহরণ স্বরূপ:

POST /rsvp?eventId=123 HTTP/1.1
Host: events-organizer.com
Authorization: Bearer AbCdEf123456
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/1.0 (KHTML, like Gecko; Gmail Actions)

rsvpStatus=YES

"AbCdEf123456"উপরের উদাহরণের স্ট্রিংটি বাহক অনুমোদনের টোকেন। এটি প্রমাণীকরণ সার্ভার দ্বারা উত্পাদিত একটি ক্রিপ্টোগ্রাফিক টোকেন। ক্রিয়াসমূহ সহ প্রেরিত সমস্ত বাহক টোকেনগুলির ইস্যু ক্ষেত্র রয়েছে, দর্শকের ক্ষেত্রে প্রেরক ডোমেনটি https: // ফর্মের URL হিসাবে নির্দিষ্ট করে। উদাহরণস্বরূপ, ইমেলটি যদি noreply@example.com থেকে আসে তবে শ্রোতা https://example.com ।

যদি বহনকারী টোকেনগুলি ব্যবহার করে থাকেন তবে যাচাই করুন যে অনুরোধটি প্রমাণীকরণের সার্ভার থেকে আসছে এবং প্রেরক ডোমেনের জন্য উদ্দিষ্ট। যদি টোকেন যাচাই না করে তবে পরিষেবাটি এইচটিটিপি প্রতিক্রিয়া কোড 401 (অননুমোদিত) দিয়ে অনুরোধটির প্রতিক্রিয়া জানাবে।

বহনকারী টোকেনগুলি OAuth V2 স্ট্যান্ডার্ডের একটি অংশ এবং বহু API দ্বারা ব্যাপকভাবে গৃহীত।

আপনার প্রশ্নটি পড়ার সাথে সাথে আমি ইন্টারনেটে অনুসন্ধানের জন্য সাফল্য ছাড়াই চেষ্টা করেছি যে কীভাবে বেরার টোকেনগুলি এনক্রিপ্ট করা বা স্বাক্ষরিত। আমার ধারনা বহনকারী টোকেনগুলি হ্যাশ করা হয়নি (সম্ভবত আংশিকভাবে তবে সম্পূর্ণ নয়) কারণ সেক্ষেত্রে এটি ডিক্রিপ্ট করা এবং এটির থেকে ব্যবহারকারীদের সম্পত্তি পুনরুদ্ধার করা সম্ভব হবে না।

তবে আপনার প্রশ্নটি বেরার টোকেন কার্যকারিতাটির উত্তর খুঁজে পাওয়ার চেষ্টা করছে বলে মনে হচ্ছে:

ধরুন আমি কোনও অনুমোদন প্রদানকারীকে প্রয়োগ করছি, আমি কি বাহক টোকেনের জন্য কোনও ধরণের স্ট্রিং সরবরাহ করতে পারি? এটি একটি এলোমেলো স্ট্রিং হতে পারে? এটি কিছু বৈশিষ্ট্যের একটি বেস 64 এনকোডিং হতে হবে? এটা করা উচিত?

সুতরাং, আমি কীভাবে বেয়ার টোকেন এবং টোকেন টোকেনগুলি কাজ করে তা বোঝানোর চেষ্টা করব:

ব্যবহারকারী যখন এসএসএলের মাধ্যমে টোকেন প্রেরণকারী ব্যবহারকারী এবং পাসওয়ার্ডের জন্য সার্ভারে অনুরোধ করেন, সার্ভার দুটি জিনিস ফেরত দেয়: একটি অ্যাক্সেস টোকেন এবং একটি রিফ্রেশ টোকেন ।

অ্যাক্সেস টোকেন এমন একটি বেয়ার টোকেন যা আপনাকে কংক্রিট ব্যবহারকারী হিসাবে প্রমাণীকরণের জন্য সমস্ত অনুরোধ শিরোনাম যুক্ত করতে হবে।

Authorization: Bearer <access_token>

অ্যাক্সেস টোকেন হ'ল আপনার ইচ্ছামত সমস্ত ব্যবহারকারীর বৈশিষ্ট্য, দাবি এবং ভূমিকা সহ একটি এনক্রিপ্ট করা স্ট্রিং। (আপনি আরও ভূমিকা বা দাবি যুক্ত করলে একটি টোকেনের আকার আরও বেড়ে যায় তা আপনি পরীক্ষা করতে পারেন)। রিসোর্স সার্ভারটি একবার অ্যাক্সেস টোকেন পেয়ে গেলে, এটি এটি ডিক্রিপ্ট করতে এবং এই ব্যবহারকারীর বৈশিষ্ট্যগুলি পড়তে সক্ষম হবে। এইভাবে, ব্যবহারকারীকে সমস্ত অ্যাপ্লিকেশন সহ বৈধতা দেওয়া হবে এবং মঞ্জুরি দেওয়া হবে।

অ্যাক্সেস টোকেনগুলির একটি সংক্ষিপ্ত মেয়াদ শেষ হবে (অর্থাত 30 মিনিট)। যদি অ্যাক্সেস টোকেনগুলির দীর্ঘ মেয়াদ শেষ হয় তবে এটি সমস্যা হবে কারণ তাত্ত্বিকভাবে এটি প্রত্যাহার করার কোনও সম্ভাবনা নেই। সুতরাং এমন একটি ভূমিকাটি এমন একজন ব্যবহারকারীকে কল্পনা করুন যাতে একটি ভূমিকা = "অ্যাডমিন" থাকে যা "ব্যবহারকারী" এ পরিবর্তিত হয়। যদি কোনও ব্যবহারকারী ভূমিকা = "অ্যাডমিন" দিয়ে পুরানো টোকেন রাখেন তবে তিনি অ্যাডমিন অধিকারের সাথে টোকেনের মেয়াদ শেষ হওয়া পর্যন্ত অ্যাক্সেস করতে পারবেন। এজন্য অ্যাক্সেস টোকেনগুলির একটি স্বল্প মেয়াদ উত্তীর্ণ হবে।

তবে, একটি বিষয় মাথায় আসে। যদি অ্যাক্সেস টোকেনটির স্বল্প মেয়াদ শেষ হয় তবে আমাদের প্রতিটি স্বল্প মেয়াদে ব্যবহারকারী এবং পাসওয়ার্ড প্রেরণ করতে হবে। এটি কি নিরাপদ? না, তা নয়। আমাদের এড়ানো উচিত। রিফ্রেশ টোকেনগুলি যখন এই সমস্যাটি সমাধান করতে উপস্থিত হয়।

রিফ্রেশ টোকেনগুলি ডিবিতে সংরক্ষণ করা হয় এবং এর দীর্ঘ মেয়াদ শেষ হবে (উদাহরণস্বরূপ: 1 মাস) 1

একটি ব্যবহারকারী একটি নতুন অ্যাক্সেস টোকেন পেতে পারে (যখন এটি শেষ হয়, প্রতি 30 মিনিটে উদাহরণস্বরূপ) রিফ্রেশ টোকেন ব্যবহার করে, যা ব্যবহারকারী টোকেনের জন্য প্রথম অনুরোধে পেয়েছিল। যখন অ্যাক্সেস টোকেনের মেয়াদ শেষ হয়, ক্লায়েন্টকে অবশ্যই একটি রিফ্রেশ টোকেন প্রেরণ করতে হবে। যদি এই রিফ্রেশ টোকেনটি ডিবিতে বিদ্যমান থাকে তবে সার্ভার ক্লায়েন্টকে একটি নতুন অ্যাক্সেস টোকেন এবং অন্য একটি রিফ্রেশ টোকেন ফিরিয়ে দেবে (এবং নতুন দ্বারা রিফ্রেশ টোকনটি প্রতিস্থাপন করবে)।

যদি কোনও ব্যবহারকারীর অ্যাক্সেস টোকেন আপস করা হয় তবে সেই ব্যবহারকারীর রিফ্রেশ টোকেনটি অবশ্যই ডিবি থেকে মুছতে হবে। এইভাবে টোকেনটি কেবল অ্যাক্সেস টোকেনের মেয়াদ শেষ না হওয়া পর্যন্ত বৈধ হবে কারণ যখন হ্যাকার রিফ্রেশ টোকেন প্রেরণ করে নতুন অ্যাক্সেস টোকেন পাওয়ার চেষ্টা করে, এই ক্রিয়াটি অস্বীকার করা হবে।

বর্ণনাকারী টোকেন হ'ল বর্ণের এক বা একাধিক পুনরাবৃত্তি, "-", "।" , "_", "~", "+", "/" এর পরে 0 বা আরও "=" হয়।

আরএফসি 6750 2.1। অনুমোদনের অনুরোধ শিরোনাম ক্ষেত্র (ফর্ম্যাটটি হল এবিএনএফ (অগমেন্টেড বিএনএফ))

The syntax for Bearer credentials is as follows:

     b64token    = 1*( ALPHA / DIGIT /
                       "-" / "." / "_" / "~" / "+" / "/" ) *"="
     credentials = "Bearer" 1*SP b64token

এটি বেস 64৪ এর মতো দেখায় তবে অনুসারে শিরোনামের টোকনটি বেস 64 কে এনকোড করা উচিত? , এইটা না.

"HTTP / 1.1, অংশ 7: প্রমাণীকরণ" ** কিছুটা গভীরে খনন করা যাইহোক, আমি দেখতে পাচ্ছি যে b64token কেবলমাত্র একটি ABNF বাক্য সংজ্ঞা যা সাধারণত বেস 64, বেস64url ইত্যাদিতে ব্যবহৃত অক্ষরের জন্য অনুমতি দেয় So সুতরাং বি 64 টোকেন না যে কোনও এনকোডিং বা ডিকোডিং সংজ্ঞায়িত করুন তবে কেবলমাত্র অনুমোদনের শিরোনামের অংশে কী অক্ষরগুলি ব্যবহার করা যেতে পারে তা সংজ্ঞায়িত করে যাতে অ্যাক্সেস টোকেন থাকবে।

তথ্যসূত্র

• আরএফসি 5234 3.6। পরিবর্তনশীল পুনরাবৃত্তি: * বিধি
• আরএফসি 2616 2.1 সংযুক্ত বিএনএফ