Всем привет! Сегодня мы поговорим простыми словами об аутентификации, авторизации и о том, как работает проверка личности в сети. Аутентификация — это повсеместная процедура аутентификации в информационных технологиях.
Более подробно
Подлинность также проверяется на веб-сайтах путем сравнения символов и букв, добавленных в текстовое поле «Пароль», с паролями, хранящимися в базе данных и в сети, для проверки целостности файлов, документов и даже электронных писем. В масштабах современного мира без аутентификации невозможно представить пару серьезных приложений. Поэтому важно понимать, откуда взялась аутентификация и каких вершин она достигла в процессе разработки.
Но прежде чем мы начнем, важно понять «слова» и то, что стоит за «аутентификацией». И лучше начать с примеров, которые часто вызывают недоумение:
- Идентификация – это процедура распознавания субъекта.
- Аутентификация — это процесс подтверждения того, что субъект соответствует характеристикам (идентификатору) и имеет доказательство, подтверждающее личность.
Но авторизация уже помогает определить, какие права доступа предоставляются субъекту, прошедшему аутентификацию, и какие функции после этого разблокируются.
Разберемся: что такое аутентификация? Эволюция — от простого к сложному:
HTTP Basic Authentication
Базовый и редко используемый протокол аутентификации, основанный на передаче имени пользователя и пароля на определенный сервер, связанный с клиентом (приложениями, браузером и сайтами) для проверки пользователей. Передаваемая информация защищена по стандарту Base64 (двоичное кодирование с использованием 64 символов ASCII), поэтому есть риск столкнуться с утечками и опасностями (такими как атака «Человек посередине»). При использовании незащищенных соединений передаваемые логины и пароли легко перехватываются злоумышленниками на этапе передачи на сервер или уже клиенту.
HTTP Digest Authentication
Альтернативный этап развития технологии аутентификации, связанный с добавлением дополнительного 128-битного алгоритма хеширования логинов и паролей (генерируется специальный «отпечаток пальца» произвольной длины, который затем сравнивается с данными, хранящимися на сервере). Из плюсов мошенникам сложнее получить секретную информацию, а уязвимостей для перехвата все же достаточно.
Forms Authentication
Промежуточная точка разработки, исключающая вывод ошибок перед аутентификацией. Для Дайджеста и Базового при выполнении запросов на защищенных страницах ресурсов выводится стандартная ошибка об отсутствии прав и возможностей с пометкой 401 Unauthorized. При попытке просмотра недоступных страниц сайта пользователь будет перенаправлен на следующую страницу, где начнется процесс аутентификации путем ввода логина и пароля.
В результате генерируется специальный HTTP POST-запрос вместе с заполненными данными веб-формы и передается в хранилище сервера. Сгенерированные данные изучаются, а затем возвращаются, но уже в виде идентификатора, который сохраняется в браузере пользователя вместе с «Cookies», и автоматически применяется на всех этапах взаимодействия с защищаемым ресурсом.
Token Authentication
Отдельный этап сетевой аутентификации на основе SSO — single sign-on, технология, обеспечивающая возможность переключения между ресурсами и приложениями без дополнительного запроса на аутентификацию.
При аутентификации с помощью токенов «доказательство» (подтверждающее личность) уже передается другой посреднической службе (поставщику удостоверений), которая распространяет токены. Есть два более простых примера для описания процесса: первый основан на входе в профиль через учетные записи социальных сетей (Facebook, VK); и второе, о влиянии паспорта гражданина на другие государственные услуги. Вроде документ выдан в отделении милиции, но остальные органы соглашаются с подтверждением личности и больше не просят дополнительной проверки, и даже не пытаются сказать, что какие-то бланки недействительны.
OAuth2 & Open ID Connect.
Расширенная модель аутентификации, которая добавляет специальную поддержку в виде присутствия пользователя в цепочке в дополнение к безопасным соединениям, токенам, хранящимся в файлах cookie, и другим мерам шифрования. Он выдает токены по такой цепочке — «Open ID Connect Provider», предназначенные для проверки пользователей, дальнейшего управления конфиденциальной информацией и выдачи соответствующего доступа (Access Token).
Кроме того, клиенту, программе, браузеру или приложению, запросившему токен, достаточно будет один раз запросить у пользователя логин и пароль, в дальнейшем файлы cookie помогут переключаться между соседними ресурсами без каких-либо дополнительных действий.
