OAuth অনুমোদন বনাম প্রমাণীকরণ

Question 1

OAuth পরিভাষা আমাকে দীর্ঘদিন ধরে বিরক্ত করছে। কিছু OAuth অনুমোদন হিসাবে প্রস্তাবিত হয় বা এটি প্রমাণীকরণ?

আমি ভুল হলে আমাকে সংশোধন করুন তবে আমি সর্বদা অনুমোদনের বিষয়টিকে কারও কাছে কোনও সংস্থার অ্যাক্সেসের অনুমতি দেওয়ার কাজ হিসাবে পাঠ করেছি তবে OAuth এর এমন কোনও বাস্তবায়ন নেই যা বাস্তবে প্রদত্ত উত্সটিতে ব্যবহারকারীদের অ্যাক্সেসের অনুমতি দেয়। সমস্ত OAuth বাস্তবায়ন সম্পর্কে কথা বলার জন্য ব্যবহারকারীকে একটি টোকেন সরবরাহ করা হয় (স্বাক্ষরিত এবং কখনও কখনও এনক্রিপ্ট করা)। এই টোকেনটি তখন প্রতিটি কলের সাথে ব্যাক-এন্ড সার্ভিস শেষ পয়েন্টে পাস করা হয় যেখানে এটি বৈধতার জন্য পরীক্ষা করা হয়, আবার কোনও OAuth উদ্বেগ নয়।

ওআউথ প্রমাণীকরণ (প্রতিটি নিবন্ধটি এটি বলে না) যা আমি গ্রহণ করি এটির জন্য কোনও ব্যবহারকারীর শংসাপত্র সরবরাহ করা প্রয়োজন যা ঘুরে দেখা যায় যে ব্যবহারকারীর অ্যাক্সেস থাকা উচিত নয়?

সুতরাং মনে হচ্ছে OAuth অনুমোদনের NOR প্রমাণীকরণ নয়, কারণ এগুলি অন্যান্য প্রক্রিয়া দ্বারা সম্পাদিত হয়। তাহলে হেক এটা কি? এটি একটি টোকেন যোগাযোগের জন্য একটি প্রক্রিয়া? এটি কি ফ্লফ শব্দটির সত্যই কোনও নির্দিষ্ট অর্থ নেই?

ছদ্মবেশী এবং কুসংস্কারহীন (ভূত এবং গাবলিন) না বলেই এই বিষয়ে কোনও প্রশ্ন জিজ্ঞাসা করা কঠিন, তাই আমি আশা করি যে এই প্রশ্নের উত্তর দেওয়া কোনও সাধারণ বিষয় হবে না। আপনার নিজের ঝুঁকিতে লিখুন.

Question 2

OAuth অনুমোদনের জন্য একটি স্পেসিফিকেশন

OAuth 2.0 হল অনুমোদনের জন্য একটি স্পেসিফিকেশন, তবে প্রমাণীকরণের জন্য নয়। আরএফসি 6749, 3.1। অনুমোদনের সমাপ্তি নিম্নরূপে স্পষ্টভাবে বলে:

অনুমোদনের শেষ পয়েন্টটি রিসোর্সের মালিকের সাথে আলাপচারিতা এবং অনুমোদনের অনুদান পাওয়ার জন্য ব্যবহৃত হয়। অনুমোদনের সার্ভারটি প্রথমে উত্সের মালিকের পরিচয় যাচাই করতে হবে। অনুমোদনের সার্ভারটি যেভাবে উত্সের মালিককে প্রমাণীকরণ করে (যেমন, ব্যবহারকারীর নাম এবং পাসওয়ার্ড লগইন, সেশন কুকিজ) এই স্পেসিফিকেশনের সুযোগের বাইরে ।

OAuth প্রমাণীকরণ?

প্রমাণীকরণে "কে তিনি" সম্পর্কে তথ্য সরবরাহ করে। অনুমোদন "কে কাকে অনুমতি দেয়" কে সে সম্পর্কিত তথ্য সরবরাহ করে। অনুমোদনের ফ্লোতে এর প্রথম পদক্ষেপ হিসাবে প্রমাণীকরণ রয়েছে। লোকেরা প্রায়শই বিভ্রান্ত হয় এ কারণেই।

অনেক লাইব্রেরি এবং পরিষেবা রয়েছে যা প্রমাণীকরণের জন্য OAuth 2.0 ব্যবহার করে। একে প্রায়শই "সামাজিক লগইন" বলা হয় এবং এটি মানুষকে আরও বিভ্রান্ত করে তোলে। যদি আপনি "OAuth প্রমাণীকরণ" ("OAuth অনুমোদন" নয়) দেখেন, তবে এটি প্রমাণীকরণের জন্য OAuth ব্যবহার করে সমাধান।

ওপেনআইডি কানেক্ট

ওপেনআইডি 1.0 এবং ওপেনআইডি 2.0 প্রমাণীকরণের জন্য পুরানো স্পেসিফিকেশন। যাঁরা স্পেসিফিকেশন তৈরি করেছিলেন তারা প্রত্যাশার জন্য ওপেনআইডি ব্যবহার করবেন। যাইহোক, কিছু লোক প্রমাণীকরণের জন্য OAuth 2.0 ব্যবহার করতে শুরু করেছেন (অনুমোদনের জন্য নয়) এবং OAuth প্রমাণীকরণ দ্রুত ছড়িয়ে পড়েছে।

ওপেনআইডি ছেলেদের দৃষ্টিকোণ থেকে, OAuth ভিত্তিক প্রমাণীকরণ যথেষ্ট নিরাপদ ছিল না তবে তাদের স্বীকার করতে হয়েছিল যে লোকেরা OAuth প্রমাণীকরণকে পছন্দ করে। ফলস্বরূপ, ওপেনআইডি ছেলেরা একটি নতুন স্পেসিফিকেশন, ওপেনআইডি সংযোগ সংজ্ঞায়িত করার সিদ্ধান্ত নিয়েছে OAuth 2.0 এর শীর্ষে ।

হ্যাঁ, এটি মানুষকে আরও বিভ্রান্ত করেছে।

ওআউথ ২.০ এবং ওপেনআইডি সংযোগের এক-বাক্য সংজ্ঞা

OAuth 2.0 একটি কাঠামো যেখানে কোনও পরিষেবার ব্যবহারকারীর কোনও তৃতীয় পক্ষের অ্যাপ্লিকেশনটিতে তার শংসাপত্র (আইডি এবং পাসওয়ার্ড) প্রকাশ না করেই পরিষেবাতে আটকানো তার ডেটা অ্যাক্সেসের অনুমতি দিতে পারে।

ওপেনআইডি কানেক্টটি ওআউথ ২.০ এর শীর্ষে একটি কাঠামো যেখানে তৃতীয় পক্ষের অ্যাপ্লিকেশনটি কোনও ব্যবহারকারীর পরিচয় সম্পর্কিত তথ্য অর্জন করতে পারে যা কোনও পরিষেবা দ্বারা পরিচালিত হয়।

^{(দুঃখিত, এই সংজ্ঞাগুলি আমার সংস্থার ওভারভিউ পৃষ্ঠা থেকে উদ্ধৃত অংশ )}

প্রয়োগকারীদের দৃষ্টিকোণ থেকে সংজ্ঞা

প্রমাণীকরণ একটি শেষ ব্যবহারকারীর বিষয় (= অনন্য শনাক্তকারী) নির্ধারণ করার প্রক্রিয়া। বিষয় নির্ধারণের বিভিন্ন উপায় রয়েছে। আইডি এবং পাসওয়ার্ড, আঙুলের ছাপ, আইরিস স্বীকৃতি, ইত্যাদি

অনুমোদনের অনুরোধ অনুমোদিত অনুমতি এবং ক্লায়েন্ট অ্যাপ্লিকেশন যা অনুমতিগুলির জন্য অনুরোধ করেছে তার সাথে বিষয়টিকে যুক্ত করার প্রক্রিয়া। অ্যাক্সেস টোকেন সংঘকে প্রতিনিধিত্ব করে।