Realizacja aplikacji internetowych Security
Scenariusze wg. MS Internet - klient anonimowy
Scenariusze wg. MS Intranet - klient bez zabezpieczeń
Scenariusze wg. MS Zabezpieczenie na poziomie transportu – klient anonimowy
Scenariusze wg. MS Zabezpieczenie na poziomie transportu – podstawowa autoryzacja
Scenariusze wg. MS Zabezpieczenie na poziomie transportu –autoryzacja Windows
Scenariusze wg. MS Zabezpieczenie na poziomie transportu –autoryzacja certyfikatem
Scenariusze wg. MS Zabezpieczenie na poziomie komunikatu –klient anonimowy
Scenariusze wg. MS Zabezpieczenie na poziomie komunikatu –znany klient
Scenariusze wg. MS Zabezpieczenie na poziomie komunikatu –klient identyfikowany certyfikatem
Scenariusze wg. MS Zabezpieczenie na poziomie komunikatu –klient Windows
Scenariusze wg. MS Zabezpieczenie na poziomie komunikatu –klient Windows bez negocjacji tożsam.
Scenariusze wg. MS Zabezpieczenie na poziomie komunikatu –wzajemne certyfikaty
Scenariusze wg. MS Zabezpieczenie na poziomie komunikatu –zaufany podsystem
Scenariusze wg. MS Zabezpieczenie na poziomie komunikatu –zaufany podsystem
Autoryzacja ASP.NET Membership API Integracja z domeną
OAuth OAuth – 2007 – umozliwia wykorzystanie trzeciej strony jako dostarczyciela tożsamości web based access delegation bazował silnie na Flickr’s API Auth and Google’s AuthSub Flows - scenariusze OAuth2 – 2010 Umożliwia użycie przez aplikacje bez kryptografii – aplikacje mobilne Mniej skomplikowane sygnatury+noew scenariusze Acces tokeny żyją krótko (1.0 miesic, rok?) Jasna separacja ról obsługi żądań vs. obsługa autoryzacji
OAuth 2 Role Resource Owner: użytkownik Resource Server: server hostujący zasób Client: apkikacja z której korzysta użytkownik np. aplikacja www, kod Javascript lub aplikacja mobilna Authorization Server: serwer który wystawia access token dla klienta. Serer może jednocześnie hostować zasób
OAuth 2 Tokeny Access Token: pozwala na dostęp do zasobu/aplikacji itd. Ma ograniczony czas życia. Jestdołączany do requestów. Refresh Token: token jest używany razem z AT do przedłużenia ważności AT. Czasem nie jest udostępniany przez serwaer autoryzacji. Claim = twierdzenie np. odnosnie tozsaamosci, wieku, roli przynależności
OAuth 2
OAuth 2
OAuth 2
OAuth 2
Problem Oauth 2 – to raczej framework do budowy protokołów adresujący różne scenariusze niż gotowe rozwiązanie Efekt: różne biblioteki klienckie dla różnych providerów tożsamości
OpenID Connect Protokół bazujący na Oauth 2.0 Domyślnie używa Rest/Json Wystartował luty 2014 Od 2015 wspierany przez Google, Microsoft, Ping Identity, ForgeRock, Nomura Research Institute, and PayPal OpenID Connect
Ochrona uSerwisów
Ochrona uSerwisów
Ochrona uSerwisów
Ochrona uSerwisów JWT – JSON Web Token SAML -> claims based Służy do propagacji tożsamości między zainteresowanymi stronami. Propaguje uprawnienia miedzy stronami W praktyce JWT nie istnieje samodzielnie tylko w postaci JWS - JSON Web Signature (podpisany) JWE - JSON Web Encryption (zaszyfrowany)
Ochrona uSerwisów Źródło https://medium.facilelogin.com/securing-microservices-with-oauth-2-0-jwt-and-xacml-d03770a9a838
Ochrona uSerwisów