auth methods lomalkin
DESCRIPTION
Обзорная адаптированная презентация по методам ААА, показаная мною в СпбГПУ во времена моей учебы там.TRANSCRIPT
Обзор современных методов аутентификации пользователя
Базовые понятия
Аутентификация — проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности (аутентичности).
Идентификация — присвоение субъектам и объектам идентификатора и/или сравнение идентификатора с перечнем присвоенных идентификаторов.
Авторизация — проверка прав пользователя на осуществление транзакций, проводимая в точке обслуживания, результатом которой будет разрешение или запрет операции клиента.
Классификация методов аутентификации
Традиционная аутентификация Технологии единого входа Enum – авторизация Одноразовый пароль Цифровой сертификат Аппаратные средства
Традиционная аутентификация
Ввод логина и секретной фразы - пароля
Примеры: Базовая аутентификация (apache) Веб-формы
Enum - авторизация
Шифроблокнот:
Одноразовый пароль (One-time password)
Авторизация по ссылке (passremind, drupal) SMS Карты переменных кодов (скретч-карты):
Цифровой сертификат
Цифровой сертификат — выпущенный удостоверяющим центром электронный или печатный документ, подтверждающий принадлежность владельцу открытого ключа или каких-либо атрибутов.
Электронная цифровая подпись
Аппаратные средства
Смарт-карты (SIM, RFID) Электронный ключ (HASP, eToken) Биометрия
Распознавание: Лица Сетчатки глаза Отпечатков пальцев Голоса и т.д.
Технологии единого входа
Single Sign On
LDAP (Lightweight Directory Access Protocol)
Пример: Active Directory Windows Live ID (Microsoft Passport .NET)
OpenID
OAuth
OpenID — это открытая децентрализованная система, которая позволяет пользователю использовать единый аккаунт для аутентификации на множестве не связанных друг с другом ресурсов (сайтов, порталов, блогов, форумов и т.д.).
OpenID
Схема работы OpenID
Преимущества OpenID
Возможность делегирования OpenID идентификатора (алиасы)
Регистрационное Расширение (возможна передача данных пользователя)
Удобство использования
Gravatar
Gravatar (Globally recognized avatar — глобально распознаваемый аватар) http://gravatar.com/
Привязка аватара к адресу электронной почты
Когда пользователь оставляет комментарий на сайте или блоге, поддерживающим Gravatar, и указывает свой адрес электронной почты, на стороне сайта вычисляется MD5 хэш от почтового адреса и отправляется на сервер Gravatar, в ответ возвращается аватар пользователя. Таким образом система Gravatar позволяет использовать аватары без регистрации на сайте или блоге.
OAuth
OAuth — это открытый протокол авторизации, который позволяет предоставить третьей стороне доступ к защищенным ресурсам пользователя, без необходимости передавать ей (третьей стороне) логин и пароль.
Как работает OAuth?
Веб-приложение запрашивает у службы аутентификации провайдера токен-запрос.
Провайдер выдает токен-запрос веб-приложению.
Веб-приложение перенаправляет пользователя на страницу авторизации провайдера
Провайдер запрашивает у пользователя разрешение доступа веб-приложения к ресурсам
Пользователь входит в свой аккаунт и разрешает доступ веб-приложению.
Провайдер выдает веб-приложению доступ к ресурсам.
Веб-приложение получает данные из провайдера.
Схема работы OAuth
Преимущества OAuth
Позволяет создавать приложения, использующее API сервера и персонализированные данные пользователя, не участвуя непосредственно в процессе аутентификации пользователя
Очень простая реализация, удобство
Где используется OAuth?
Twitter Facebook В Контакте Яндекс Mail.ru Yahoo Google (Google Data API) LiveJournal
Чем OAuth отличается от OpenID?
OpenID — протокол для ускоренной регистрации. OpenID позволяет пользователю без ввода пароля получить аккаунт на каком-либо сервисе, если он уже зарегистрирован где-то еще в интернете.
OAuth — протокол для авторизованного доступа к ресурсам провайдера. OAuth позволяет скрипту веб-приложения получить ограниченный доступ к данным провайдера, если пользователь разрешает.
Менеджеры паролей
3 типа: Расширение браузера (plugin) Десктопное приложение Online-сервис
Функционал Безопасное хранение паролей Генерация паролей