OAuth2 på Svenska

Kort om RFC6749
OAuth2
Emil Tullstedt
<emil@46elks.com>
@sakjur
Uppsala Tech Meetup
2015-09-22

Problem
1 Applikationer som vill komma ˚at resurser som tillhör en
användare p˚a en extern server behöver autentisera sig med
användarens inloggningsuppgifter1
2 Det är sv˚art för användaren att begränsa vilka resurser en viss
applikation har tillg˚ang till
3 Användaren m˚aste byta lösenord för att bryta en applikations
tillg˚ang till resurserna
1
Lösenord i klartext <3

För webbutvecklare, tl;dr; OAuth2?
1 Använda annan leverantör för att logga in → Slippa lösenord
2 APIer! Google, GitHub, Facebook, et.c.
3 OAuth2 ≈ OpenID Connect

Nyckelbegrepp
Resursägare I normalfallet, användaren
Resursserver Server med resursägarens resurser
Klient Applikation som försöker n˚a resurser
Auktoriseringsserver Server för att autentisera klienten
Auktoriseringsförfr˚agan Klienten ber resursägaren om en grant
Auktoriseringsgrant Klienten byter ut mot en Accesstoken
Accesstoken Nyckeln för att komma ˚at resurser

H¨amta en accesstoken
Klient Auktoriseringsserver
Resurs¨agare
Resursserver
A
B
A B
B
C
C
D

Hämta en accesstoken – Anrop
Klienten instruerar resursägaren att med en user-agent2 g˚a in p˚a en
specifik auktoriseringssida.
User-Agent → Auktoriseringsserver
1 GET /authorize?response_type=code&client_id=s6BhdRkqt3&
state=xyz&redirect_uri=https%3A%2F%2Fclient%2Eexample
%2Ecom%2Fcb HTTP/1.1
2 Host: server.example.com
2
User-Agent är motsvarande en webbläsare

Auktoriseringsserver → User-Agent
1 HTTP/1.1 302 Found
2 Location: https://client.example.com/cb?code=
SplxlOBeZQQYbYS6WxSbIA&state=xyz
User-Agent → Klient
GET /cb?code=SplxlOBeZQQYbYS6WxSbIA&state=xyz

Klient → Auktoriseringsserver
1 POST /token HTTP/1.1
2 Host: server.example.com
3 Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
4 Content-Type: application/x-www-form-urlencoded
5
6 grant_type=authorization_code&code=
SplxlOBeZQQYbYS6WxSbIA&redirect_uri=https%3A%2F%2
Fclient%2Eexample%2Ecom%2Fcb

Basic Authorization i OAuth2?
Klienten auktoriserar sig mot auktoriseringsservern med hj¨alp av
basic auth
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW

Auktoriseringsserver → Klient
1 HTTP/1.1 200 OK
2 Content-Type: application/json;charset=UTF-8
3 Cache-Control: no-store
4 Pragma: no-cache
5
6 {
7 "access_token":"2YotnFZFEjr1zCsicMWpAA",
8 "token_type":"example",
9 "expires_in":3600,
10 "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
11 "example_parameter":"example_value"
12 }

H¨amta en accesstoken – i praktiken
Bibliotek! o/

Komma ˚at en resurs med en token
1 Beror p˚a tokentyp
2 Bearer token-formatet beskrivs av RFC6750
3 RFC6749 n¨amner ¨aven OAuth-HTTP-MAC3
1 GET /resource/1 HTTP/1.1
2 Host: example.com
3 Authorization: Bearer mF_9.B5f-4.1JqM
3
Fortfarande i utkastsstadiet

Hur länge lever en Accesstoken
1 Livslängden p˚a en accesstoken anges eventuellt av
expires in-variabeln fr˚an auktoriseringsservern
2 Ny accesstoken kan hämtas med en refreshtoken
3 Resursägaren kan dra in en klients accesser
1 {
2 · · ·
3 "expires_in":3600,
4 "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
5 · · ·
6 }

Rättigheter
1 Klienten kan inkludera en variabel scope i sin
auktoriseringsförfr˚aga
2 scope är bara en mellanslagsseparerad lista
3 Auktoriseringsservern är fri att tolka scope hur den vill

tl;dr;
1 OAuth2 hjälper dina användare att logga in och dig att
använda deras externa resurser
2 RFC6749 f˚ar OAuth2 att verka jobbigare än det är i
verkligheten

Fr˚agor?
emil@46elks.com
@sakjur

L¨ankar
1 RFC6749 OAuth2
https://tools.ietf.org/html/rfc6749
2 RFC6750 Bearer Token
https://tools.ietf.org/html/rfc6750
3 OAuth-HTTP-MAC Draft 05
https://tools.ietf.org/html/
draft-ietf-oauth-v2-http-mac-05
4 Googles OAuth 2.0 dokumentation
https://developers.google.com/identity/
protocols/OAuth2
5 requests-oauthlib (Python-bibliotek f¨or att leka med OAuth)
https://requests-oauthlib.readthedocs.org/

OAuth2 på Svenska

Recomendados

Recomendados

Mais conteúdo relacionado

Destaque

Destaque (20)

OAuth2 på Svenska