Вам бонус- начислено 1 монета за дневную активность. Сейчас у вас 1 монета

Аутентификация и авторизация

Лекция



Привет, Вы узнаете о том , что такое аутентификация, Разберем основные их виды и особенности использования. Еще будет много подробных примеров и описаний. Для того чтобы лучше понимать что такое аутентификация, авторизация, jwt, oauth2, oauth , настоятельно рекомендую прочитать все из категории Криптография и Криптоанализ. Стеганография. Защита Информации и информационная безопасность. .

аутентификация (англ. authentication < греч. αὐθεντικός [authentikos] «реальный, подлинный» < αὐτός [autos] «сам; он самый») — процедура проверки подлинности, например:

  • проверка подлинности пользователя путем сравнения введенного им пароля (для указанного логина) с паролем, сохраненным в базе данных пользовательских логинов;
  • подтверждение подлинности электронного письма путем проверки цифровой подписи письма по открытому ключу отправителя;
  • проверка контрольной суммы файла на соответствие сумме, заявленной автором этого файла.

В русском языке термин применяется, в основном, в области информационных технологий.

Учитывая степень доверия и политику безопасности систем, проводимая проверка подлинности может быть односторонней или взаимной. Обычно она проводится с помощью криптографических способов.

Аутентификацию не следует путать с авторизацией (процедурой предоставления субъекту определенных прав) и идентификацией (процедурой распознавания субъекта по его идентификатору).

История

С древних времен перед людьми стояла довольно сложная задача — убедиться в достоверности важных сообщений. Придумывались речевые пароли, сложные печати. Появление методов аутентификации с применением механических устройств сильно упрощало задачу, например, обычный замок и ключ были придуманы очень давно. Пример системы аутентификации можно увидеть в старинной сказке «Приключения Али́-Бабы́ и сорока разбойников». В этой сказке говорится о сокровищах, спрятанных в пещере. Пещера была загорожена камнем. Отодвинуть его можно было только с помощью уникального речевого пароля: «Сим-Сим, откройся!».

В настоящее время в связи с обширным развитием сетевых технологий автоматическая аутентификация используется повсеместно.

Стандарты

Документы, определяющие стандарты аутентификации

ГОСТ Р ИСО/МЭК 9594-8-98 — Основы аутентификации

Настоящий стандарт:

  • определяет формат информации аутентификации, хранимой справочником;
  • описывает способ получения из справочника информации аутентификации;
  • устанавливает предпосылки о способах формирования и размещения в справочнике информации аутентификации;
  • определяет три способа, с помощью которых прикладные программы могут использовать такую информацию аутентификации для выполнения аутентификации, и описывает, каким образом с помощью аутентификации могут быть обеспечены другие услуги защиты.

В настоящем стандарте изложены два вида аутентификации: простая, использующая пароль как проверку заявленной идентичности, и строгая, использующая удостоверения личности, созданные с использованием криптографических методов

FIPS 113 — COMPUTER DATA AUTHENTICATION

Настоящий стандарт устанавливает Data Authentication Algorithm(DAA), который может быть использован для обнаружения несанкционированных изменений данных, как преднамеренных, так и случайных, стандарт основан на алгоритме, указанном в Data Encryption Standard(DES) Federal Information Processing Standards Publication(FIPS PUB) 46, и совместим как с Department of the Treasury’s Electronic Funds and Security Transfer Policy and the American National Standards Institute(ANSI) так и с Standard for Financial Institution Message Authentication.

Данный стандарт используется для контроля над целостностью передаваемой информации средствами криптографической аутентификации.

Элементы системы аутентификации

В любой системе аутентификации обычно можно выделить несколько элементов:

  • субъект, который будет проходить процедуру
  • характеристика субъекта — отличительная черта
  • хозяин системы аутентификации, несущий ответственность и контролирующий ее работу
  • сам механизм аутентификации, то есть принцип работы системы
  • механизм управления доступом, предоставляющий определенные права доступа субъекту
Элемент аутентификации Пещера 40 разбойников Регистрация в системе Банкомат
Субъект Человек, знающий пароль Авторизованный пользователь Держатель банковской карты
Характеристика Пароль "Сим-Сим, откройся!" Тайный пароль Банковская карта и персональный идентификатор
Хозяин системы 40 разбойников Предприятие, которому принадлежит система Банк
Механизм аутентификации Волшебное устройство, реагирующее на слова Программное обеспечение, проверяющее пароль Программное обеспечение, проверяющее карту и персональный идентификатор
Механизм управления доступом Механизм, отодвигающий камень от входа в пещеру Процесс регистрации, управления доступом Разрешение на выполнение банковских действий

Факторы аутентификации

Еще до появления компьютеров использовались различные отличительные черты субъекта, его характеристики. Сейчас использование той или иной характеристики в системе зависит от требуемой надежности, защищенности и стоимости внедрения. Выделяют 3 фактора аутентификации:

  • Нечто, что нам известно, например, какая-либо секретная информация. Это тайные сведения, которыми должен обладать только авторизованный субъект. Секретом может быть некая фраза или пароль, например в виде устного сообщения, текстового представления, комбинации для замка или личного идентификационного номера (PIN). Парольный механизм может быть довольно легко воплощен и имеет низкую стоимость. Но имеет существенные недостатки: сохранить пароль в тайне зачастую бывает сложно, злоумышленники постоянно придумывают новые способы кражи, взлома и подбора пароля (см. бандитский криптоанализ, метод грубой силы). Это делает парольный механизм слабозащищенным.
  • Нечто, чем мы обладаем, например, какой-либо уникальный физический объект. Здесь важно обстоятельство обладания субъектом каким-то неповторимым предметом. Это может быть личная печать, ключ от замка, для компьютера это файл данных, содержащих характеристику. Характеристика часто встраивается в особое устройство аутентификации, например, пластиковая карта, смарт-карта. Для злоумышленника заполучить такое устройство становится более сложно, чем взломать пароль, а субъект может сразу же сообщить в случае кражи устройства. Это делает данный метод более защищенным, чем парольный механизм, однако стоимость такой системы более высокая.
  • Нечто, что является неотъемлемой частью нас самих — биометрика. Характеристикой является физическая особенность субъекта. Это может быть портрет, отпечаток пальца или ладони, голос или особенность глаза. С точки зрения субъекта, данный способ является наиболее простым: не надо ни запоминать пароль, ни переносить с собой устройство аутентификации. Однако биометрическая система должна обладать высокой чувствительностью, чтобы подтверждать авторизованного пользователя, но отвергать злоумышленника со схожими биометрическими параметрами. Также стоимость такой системы довольно велика. Но, несмотря на свои недостатки, биометрика остается довольно перспективным фактором.

Способы аутентификации

Аутентификация при помощи электронной подписи

Федеральный закон от 06.04.2011 N 63-ФЗ «Об электронной подписи» (с изменениями) предусматривает следующие виды электронной подписи:

  • Простая электронная подпись — электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.
  • Неквалифицированная электронная подпись — электронная подпись, которая:
  1. получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
  2. позволяет определить лицо, подписавшее электронный документ;
  3. позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
  4. создается с использованием средств электронной подписи.
  • Квалифицированная электронная подпись — электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:
  1. ключ проверки электронной подписи указан в квалифицированном сертификате;
  2. для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.

Аутентификация по паролям[править | править код]

  • Аутентификация по многоразовым паролям
  • Аутентификация по одноразовым паролям

Аутентификация по многоразовым паролям

Аутентификация и авторизация
Форма ввода связки логин-пароля

Один из способов аутентификации в компьютерной системе состоит во вводе вашего пользовательского идентификатора, в просторечии называемого «логином» (англ. login — регистрационное имя пользователя, учетка) и пароля — неких конфиденциальных сведений. Достоверная (эталонная) пара логин-пароль хранится в специальной базе данных.

Простая аутентификация имеет следующий общий алгоритм:

  1. Субъект запрашивает доступ в систему и вводит личный идентификатор и пароль.
  2. Введенные неповторимые данные поступают на сервер аутентификации, где сравниваются с эталонный .
  3. При совпадении данных с эталонными аутентификация признается успешной, при различии — субъект перемещается к 1-му шагу

Введенный субъектом пароль может передаваться в сети двумя способами:

  • Незашифрованно, в открытом виде, на основе протокола парольной аутентификации (Password Authentication Protocol, PAP)
  • С использованием шифрования SSL или TLS. В этом случае неповторимые данные, введенные субъектом, передаются по сети защищенно.
Защищенность

С точки зрения наилучшей защищенности при хранении и передаче паролей следует использовать однонаправленные функции. Обычно для этих целей используются криптографически стойкие хеш-функции. В этом случае на сервере хранится только образ пароля. Получив пароль и проделав его хеш-преобразование, система сравнивает полученный результат с эталонным образом, хранящимся в ней. При их идентичности пароли совпадают. Для злоумышленника, получившего доступ к образу, вычислить сам пароль практически невозможно.

Использование многоразовых паролей имеет ряд существенных недостатков. Во-первых, сам эталонный пароль или его хешированный образ хранятся на сервере аутентификации. Зачастую хранение пароля производится без криптографических преобразований, в системных файлах. Получив доступ к ним, злоумышленник легко доберется до конфиденциальных сведений. Во-вторых, субъект вынужден запоминать (или записывать) свой многоразовый пароль. Злоумышленник может заполучить его, просто применив навыки социальной инженерии, без всяких технических средств. Кроме того, сильно снижается защищенность системы в случае, когда субъект сам выбирает себе пароль. Зачастую им оказывается какое-то слово или сочетание слов, присутствующие в словаре. В ГОСТ 28147-89 длина ключа составляет 256 бит (32 байта). При использовании генератора псевдослучайных чисел ключ обладает хорошими статистическими свойствами. Пароль же, который является, например, словом из словаря, можно свести к псевдослучайному числу длиной 16 бит, что короче ГОСТ-ового ключа в 16 раз. При достаточном количестве времени злоумышленник может взломать пароль простым перебором. Решением этой проблемы является использование случайных паролей или ограниченность по времени действия пароля субъекта, по истечении которого пароль необходимо поменять.

Базы учетных записей

На компьютерах с ОС семейства UNIX базой является файл /etc/master.passwd (в дистрибутивах Linux обычно файл /etc/shadow, доступный для чтения только root), в котором пароли пользователей хранятся в виде хеш-функций от открытых паролей, кроме этого, в этом же файле хранится информация о правах пользователя. Изначально в Unix-системах пароль (в зашифрованном виде) хранился в файле /etc/passwd, доступном для чтения всем пользователям, что было небезопасно.

На компьютерах с операционной системой Windows NT/2000/XP/2003 (не входящих в домен Windows) такая база данных называется SAM (Security Account Manager — Диспетчер защиты учетных записей). База SAM хранит учетные записи пользователей, включающие в себя все данные, необходимые системе защиты для функционирования. Находится в каталоге %windir%\system32\config\.

В доменах Windows Server 2000/2003 такой базой является Active Directory.

Однако более надежным способом хранения аутентификационных данных признано использование особых аппаратных средств (компонентов).

При необходимости обеспечения работы сотрудников на разных компьютерах (с поддержкой системы безопасности) используют аппаратно-программные системы, позволяющие хранить аутентификационные данные и криптографические ключи на сервере организации. Пользователи свободно могут работать на любом компьютере (рабочей станции), имея доступ к своим аутентификационным данным и криптографическим ключам.

Аутентификация по одноразовым паролям

Аутентификация и авторизация
Ключ-брелок eToken

Заполучив однажды многоразовый пароль субъекта, злоумышленник имеет постоянный доступ к взломанным конфиденциальным сведениям. Эта проблема решается применением одноразовых паролей (OTP — One Time Password). Суть этого метода — пароль действителен только для одного входа в систему, при каждом следующем запросе доступа — требуется новый пароль. Реализован механизм аутентификации по одноразовым паролям может быть как аппаратно, так и программно.

Технологии использования одноразовых паролей можно разделить на:

  • Использование генератора псевдослучайных чисел, единого для субъекта и системы
  • Использование временных меток вместе с системой единого времени
  • Использование базы случайных паролей, единой для субъекта и для системы

В первом методе используется генератор псевдослучайных чисел с одинаковым значением для субъекта и для системы. Сгенерированный субъектом пароль может передаваться системе при последовательном использовании односторонней функции или при каждом новом запросе, основываясь на уникальной информации из предыдущего запроса.

Во втором методе используются временные метки. В качестве примера такой технологии можно привести SecurID. Она основана на использовании аппаратных ключей и синхронизации по времени. Аутентификация основана на генерации случайных чисел через определенные временные интервалы. Уникальный секретный ключ хранится только в базе системы и в аппаратном устройстве субъекта. Когда субъект запрашивает доступ в систему, ему предлагается ввести PIN-код, а также случайно генерируемое число, отображаемое в этот момент на аппаратном устройстве. Система сопоставляет введенный PIN-код и секретный ключ субъекта из своей базы и генерирует случайное число, основываясь на параметрах секретного ключа из базы и текущего времени. Далее проверяется идентичность сгенерированного числа и числа, введенного субъектом.

Третий метод основан на единой базе паролей для субъекта и системы и высокоточной синхронизации между ними. При этом каждый пароль из набора может быть использован только один раз. Благодаря этому, даже если злоумышленник перехватит используемый субъектом пароль, то он уже будет недействителен.

По сравнению с использованием многоразовых паролей одноразовые пароли предоставляют более высокую степень защиты.

Аутентификация с помощью SMS

Актуальность обеспечения безопасности мобильных средств коммуникации, например, ip-phone, стимулирует новые разработки в этой области. Среди них можно назвать аутентификацию с помощью SMS-сообщений.

Процедура такой аутентификации включает в себя следующие шаги:

  1. Ввод имени пользователя и пароля
  2. Сразу после этого PhoneFactor (служба безопасности) присылает одноразовый аутентификационный ключ в виде текстового SMS-сообщения.
  3. Полученный ключ используется для аутентификации

Привлекательность данного метода заключается в том, что ключ получается не по тому каналу, по которому производится аутентификация (out-of-band), что практически исключает атаку типа «человек посередине». Дополнительный уровень безопасности может дать требование ввода PIN-кода мобильного средства.

Данный метод получил широкое распространение в банковских операциях через интернет.

Биометрическая аутентификация

Методы аутентификации, основанные на измерении биометрических параметров человека, обеспечивают почти 100 % идентификацию, решая проблемы утраты паролей и личных идентификаторов.

Примерами внедрения указанных методов являются системы идентификации пользователя по рисунку радужной оболочки глаза, отпечаткам ладони, формам ушей, инфракрасной картине капиллярных сосудов, по почерку, по запаху, по тембру голоса и даже по ДНК.

Новым направлением является использование биометрических характеристик в интеллектуальных расчетных карточках, жетонах-пропусках и элементах сотовой связи. Например, при расчете в магазине предъявитель карточки кладет палец на сканер в подтверждение, что карточка действительно его.

Наиболее используемые биометрические атрибуты и соответствующие системы
Отпечатки пальцев. Такие сканеры имеют небольшой размер, универсальны, относительно недороги. Биологическая повторяемость отпечатка пальца составляет 10−5 %. В настоящее время пропагандируются правоохранительными органами из-за крупных ассигнований в электронные архивы отпечатков пальцев.
  • Геометрия руки. Соответствующие устройства используются, когда из-за грязи или травм трудно применять сканеры пальцев. Биологическая повторяемость геометрии руки около 2 %.
  • Радужная оболочка глаза. Данные устройства обладают наивысшей точностью. Теоретическая вероятность совпадения двух радужных оболочек составляет 1 из 1078.
  • Термический образ лица. Системы позволяют идентифицировать человека на расстоянии до десятков метров. Об этом говорит сайт https://intellect.icu . В комбинации с поиском данных по базе данных такие системы используются для опознания авторизованных сотрудников и отсеивания посторонних. Однако при изменении освещенности сканеры лица имеют относительно высокий процент ошибок.
  • Распознавание по лицу. Системы на основе данного подхода позволяют идентифицировать персону в определенных условиях с погрешностью не более 3 %. В зависимости от метода позволяют идентифицировать человека на расстояниях от полуметра до нескольких десятков метров. Данный метод удобен тем, что он позволяет реализацию штатными средствами (веб-камера и т. п.). Более сложные методы требуют более изощренных устройств. Некоторые (не все) методы обладают недостатком подмены: можно провести идентификацию подменив лицо реального человека на его фотографию.
  • Голос. Проверка голоса удобна для использования в телекоммуникационных приложениях. Необходимые для этого 16-разрядная звуковая плата и конденсаторный микрофон стоят менее 25 $. Вероятность ошибки составляет 2 — 5 %. Данная технология подходит для верификации по голосу по телефонным каналам связи, она более надежна по сравнению с частотным набором личного номера. Сейчас развиваются направления идентификации личности и его состояния по голосу — возбужден, болен, говорит правду, не в себе и т. д.
  • Ввод с клавиатуры. Здесь при вводе, например, пароля отслеживаются скорость и интервалы между нажатиями.
  • Подпись. Для контроля рукописной подписи используются дигитайзеры

В то же время биометрическая аутентификация имеет ряд недостатков:

  1. Биометрический шаблон сравнивается не с результатом первоначальной обработки характеристик пользователя, а с тем, что пришло к месту сравнения. За время пути может много чего произойти.
  2. База шаблонов может быть изменена злоумышленником.
  3. Следует учитывать разницу между применением биометрии на контролируемой территории, под бдительным оком охраны, и в «полевых» условиях, когда, например, к устройству сканирования могут поднести муляж и т. п.
  4. Некоторые биометрические данные человека меняются (как в результате старения, так и травм, ожогов, порезов, болезни, ампутации и т. д.), так что база шаблонов нуждается в постоянном сопровождении, а это создает определенные проблемы и для пользователей, и для администраторов.
  5. Если у Вас крадут биометрические данные или их компрометируют, то это, как правило, на всю жизнь. Пароли, при всей их ненадежности, в крайнем случае можно сменить. Палец, глаз или голос сменить нельзя, по крайней мере быстро.
  6. Биометрические характеристики являются уникальными идентификаторами, но их нельзя сохранить в секрете.

Аутентификация через географическое местоположение

  • Аутентификация посредством GPS
  • Аутентификация, основанная на местоположении выхода в интернет

Аутентификация посредством GPS

Новейшим направлением аутентификации является доказательство подлинности удаленного пользователя по его местонахождению. Данный защитный механизм основан на использовании системы космической навигации, типа GPS (Global Positioning System).

Пользователь, имеющий аппаратуру GPS, многократно посылает координаты заданных спутников, находящихся в зоне прямой видимости. Подсистема аутентификации, зная орбиты спутников, может с точностью до метра определить месторасположение пользователя. Высокая надежность аутентификации определяется тем, что орбиты спутников подвержены колебаниям, предсказать которые достаточно трудно. Кроме того, координаты постоянно меняются, что сводит на нет возможность их перехвата.

Сложность взлома системы состоит в том, что аппаратура передает оцифрованный сигнал спутника, не производя никаких вычислений. Все вычисления о местоположении производят на сервере аутентификации.

Аппаратура GPS проста и надежна в использовании и сравнительно недорога. Это позволяет ее использовать в случаях, когда авторизованный удаленный пользователь должен находиться в нужном месте.

Аутентификация, основанная на местоположении выхода в интернет

Данный механизм основан на использовании информации о местоположении серверов, точек доступа беспроводной связи, через которые осуществляется подключение к сети интернет.

Относительная простота взлома состоит в том, что информацию о местоположении можно изменить, используя так называемые прокси-серверы или системы анонимного доступа.

Многофакторная аутентификация

В последнее время все чаще применяется так называемая расширенная, или многофакторная, аутентификация. Она построена на совместном использовании нескольких факторов аутентификации. Это значительно повышает защищенность системы.

В качестве примера можно привести использование SIM-карт в мобильных телефонах. Субъект вставляет аппаратно свою карту (устройство аутентификации) в телефон и при включении вводит свой PIN-код (пароль).

Также, к примеру, в некоторых современных ноутбуках присутствует сканер отпечатка пальца. Таким образом, при входе в систему субъект должен пройти эту процедуру (биометрика), а потом ввести пароль.

Выбирая для системы тот или иной фактор или способ аутентификации, необходимо, прежде всего, отталкиваться от требуемой степени защищенности, стоимости построения системы, обеспечения мобильности субъекта.

Можно привести сравнительную таблицу:

Уровень риска Требования к системе Технология аутентификации Примеры применения
Низкий Требуется осуществить аутентификацию для доступа к системе, причем кража, взлом, разглашение конфиденциальных сведений не будут иметь значительных последствий Рекомендуется минимальное требование - использование многоразовых паролей Регистрация на портале в сети Интернет
Средний Требуется осуществить аутентификацию для доступа к системе, причем кража, взлом, разглашение конфиденциальных сведений причинят небольшой ущерб Рекомендуется минимальное требование - использование одноразовых паролей Произведение субъектом банковских операций
Высокий Требуется осуществить аутентификацию для доступа к системе, причем кража, взлом, разглашение конфиденциальных сведений причинят значительный ущерб Рекомендуется минимальное требование - использование многофакторной аутентификации Проведение крупных межбанковских операций руководящим аппаратом

Протоколы аутентификации

Процедура аутентификации используется при обмене информацией между компьютерами, при этом используются весьма сложные криптографические протоколы, обеспечивающие защиту линии связи от прослушивания или подмены одного из участников взаимодействия. А поскольку, как правило, аутентификация необходима обоим объектам, устанавливающим сетевое взаимодействие, то аутентификация может быть и взаимной.

Таким образом, можно выделить несколько семейств аутентификации:

Аутентификация пользователя на PC:

  • Шифрованное имя (login)
  • Password Authentication Protocol, PAP (связка логин-пароль)
  • Карта доступа (USB с сертификатом, SSO)
  • Биометрия (голос, отпечаток пальца/ладони/радужки глаза)

Аутентификация в сети:

  • Secure SNMP с использованием цифровой подписи
  • SAML (Security Assertion Markup Language)
  • Cookie сессии
  • Kerberos Tickets
  • Сертификаты X.509
  • OpenID Connect аутентификационная надстройка над протоколом OAuth 2.0

В операционных системах семейства Windows NT 4 используется протокол NTLM (NT LAN Manager — Диспетчер локальной сети NT). А в доменах Windows 2000/2003 применяется гораздо более совершенный протокол Kerberos.

Аутентификация в Интернете

Аутентификация требуется при доступе к таким сервисам как:

  • электронная почта
  • веб-форум
  • социальные сети
  • интернет-банкинг
  • платежные системы
  • корпоративные сайты
  • интернет-магазины

Положительным результатом аутентификации (кроме установления доверительных отношений и выработки сессионного ключа) является авторизация пользователя, то есть предоставление ему прав доступа к ресурсам, определенным для выполнения его задач.

Понимание аутентификации на основе файлов cookie

Файл cookie - это небольшой фрагмент данных, созданный сервером и отправленный в ваш браузер при посещении веб-сайта. Браузерам часто необходимо сохранить и отправить его обратно на сервер, чтобы сообщить, что запрос исходит от того же браузера, чтобы пользователь оставался аутентифицированным. Мы читаем файлы cookie браузера как пары «ключ-значение».

Аутентификация на основе файлов cookie использует файлы cookie HTTP для проверки подлинности клиентских запросов и сохранения информации о сеансе на сервере по протоколу HTTP без сохранения состояния .

Вот логическая последовательность процесса аутентификации на основе файлов cookie:

  1. Клиент отправляет запрос на вход с учетными данными на внутренний сервер.

  2. Затем сервер проверяет учетные данные. В случае успешного входа в систему веб-сервер создаст сеанс в базе данных и включит Set-Cookieзаголовок в ответ, содержащий уникальный идентификатор в объекте cookie.

  3. Браузер сохраняет файл cookie локально. Пока пользователь остается в системе, клиент должен отправлять cookie во всех последующих запросах на сервер. Затем сервер сравнивает идентификатор сеанса, хранящийся в файле cookie, с идентификатором в базе данных для проверки действительности.

  4. Во время операции выхода из системы сервер истечет срок действия cookie, удалив его из базы данных.

Преимущества аутентификации на основе файлов cookie

  • Использование файлов cookie при аутентификации делает ваше приложение отслеживающим состояние. Это будет эффективно для отслеживания и персонализации состояния пользователя.

  • Файлы cookie имеют небольшой размер, поэтому их удобно хранить на стороне клиента.

  • Файлы cookie могут быть «только HTTP-файлами», что делает их невозможными для чтения на стороне клиента. Это улучшает защиту от любых атак с использованием межсайтовых сценариев (XSS).

  • Файлы cookie будут добавлены в запрос автоматически, поэтому разработчику не придется реализовывать их вручную и, следовательно, требуется меньше кода.

Ограничения аутентификации на основе файлов cookie

  • Он уязвим для атаки подделки межсайтовых запросов . Часто для защиты требуются другие меры безопасности, такие как токены CSRF .

  • Вам необходимо сохранить данные сеанса в базе данных или хранить их в памяти на сервере. Это делает его менее масштабируемым и увеличивает накладные расходы, когда на сайте много пользователей.

  • Файлы cookie обычно работают в одном домене. Например, невозможно прочитать или отправить cookie из домена, такого как jabs.com, в домен boo.com. Это проблема, когда служба API находится из разных доменов для мобильных и веб-платформ.

  • Клиенту необходимо отправлять cookie при каждом запросе, даже с URL-адресами, для доступа к которым не требуется аутентификация.

Понимание аутентификации на основе токенов

При аутентификации на основе токенов мы сохраняем состояние пользователя на клиенте. Веб-токен JSON (JWT) - это открытый стандарт (RFC 7519), который определяет способ безопасной передачи информации между клиентом и сервером в виде объекта JSON. В статье я буду использовать токены и термины JWT как синонимы.

Jwt.io веб - сайт может быть использован для анализа лексем информации JWT. Вы можете использовать jwt.io для экспериментов с веб- токенами JSON путем их декодирования и кодирования.

Анатомия токена JWT состоит из трех частей, разделенных точками (.). Эти три части включают заголовок JWT, полезную нагрузку JWT и его подпись соответственно ( header.payload.signature).

Пример токена JWT:

  Аутентификация и авторизация

Заголовок JWT - это объект JSON в кодировке Base64 URL. Он содержит информацию, описывающую тип токена и используемый алгоритм подписи, например HMAC, SHA256 или RSA.

Пример:

продолжение следует...

Продолжение:


Часть 1 Аутентификация и авторизация
Часть 2 Механизм аутентификации на основе JWT токена - Аутентификация и авторизация
Часть 3 Вау!! 😲 Ты еще не читал? Это зря! - Аутентификация и авторизация

См.также

Исследование, описанное в статье про аутентификация, подчеркивает ее значимость в современном мире. Надеюсь, что теперь ты понял что такое аутентификация, авторизация, jwt, oauth2, oauth и для чего все это нужно, а если не понял, или есть замечания, то не стесняйся, пиши или спрашивай в комментариях, с удовольствием отвечу. Для того чтобы глубже понять настоятельно рекомендую изучить всю информацию из категории Криптография и Криптоанализ. Стеганография. Защита Информации и информационная безопасность.

создано: 2021-08-09
обновлено: 2021-08-09
132265

Рейтиг 9 of 10. count vote: 2
Вы довольны ?:

Поделиться:

Найди готовое или заработай

С нашими удобными сервисами без комиссии*

Как это работает? | Узнать цену?

Найти исполнителя
$0 / весь год.
  • У вас есть задание, но нет времени его делать
  • Вы хотите найти профессионала для выплнения задания
  • Возможно примерение функции гаранта на сделку
  • Приорететная поддержка
  • идеально подходит для студентов, у которых нет времени для решения заданий
Создать заявку
Готовое решение
$0 / весь год.
  • Вы можите продать(исполнителем) или купить(заказчиком) готовое решение
  • Вам предоставят готовое решение
  • Будет предоставлено в минимальные сроки т.к. задание уже готовое
  • Вы получите базовую гарантию 8 дней
  • Вы можете заработать на материалах
  • подходит как для студентов так и для преподавателей
Добавить решение
Я исполнитель
$0 / весь год.
  • Вы профессионал своего дела
  • У вас есть опыт и желание зарабатывать
  • Вы хотите помочь в решении задач или написании работ
  • Возможно примерение функции гаранта на сделку
  • подходит для опытных студентов так и для преподавателей
Разместить резюме

Комментарии

Оставить комментарий
Если у вас есть какое-либо предложение, идея, благодарность или комментарий, не стесняйтесь писать. Мы очень ценим отзывы и рады услышать ваше мнение.
To reply

Криптография и Криптоанализ. Стеганография. Защита Информации и информационная безопасность.

Термины: Криптография и Криптоанализ. Стеганография. Защита Информации и информационная безопасность.