ویژگی های مختلف گروه های هارون

OAUTH 2. 0 پروتکل استاندارد صنعت برای مجوز است. OAUTH 2. 0 ضمن ارائه جریانهای مجوز خاص برای برنامه های وب ، برنامه های دسک تاپ ، تلفن های همراه و دستگاه های اتاق نشیمن ، روی سادگی توسعه دهنده مشتری تمرکز دارد. این مشخصات و پسوندهای آن در کارگروه IETF OAUTH در حال توسعه است.

OAUTH 2. 1 یک تلاش در حال پیشرفت برای ادغام OAuth 2. 0 و بسیاری از پسوندهای مشترک با نام جدید است.

سؤالات ، پیشنهادات و تغییرات پروتکل باید در لیست پستی مورد بحث قرار گیرد.

دوره جدید ویدیویی: امنیت پیشرفته OAUTH

توسط هارون پراکی

OAUTH 2. 0

• چارچوب OAUTH 2. 0 - RFC 6749
  • دسترسی به نشانه ها
  • نشانه های تازه
  • دامنه
  • کد مجوز
  • PKCE
  • اعتبار مشتری
  • رمز دستگاه
  • نشانه
  • میراث: جریان ضمنی
  • میراث: اعطای رمز عبور

  موبایل و سایر دستگاه ها

  • برنامه های بومی - توصیه هایی برای استفاده از OAUTH با برنامه های بومی
  • برنامه های مبتنی بر مرورگر-توصیه هایی برای استفاده از OAUTH با برنامه های مبتنی بر مرورگر (به عنوان مثال SPA)
  • کمک هزینه مجوز دستگاه - OAUTH برای دستگاه های بدون مرورگر یا صفحه کلید

  مدیریت توکن و توکن

  • نمایه JWT برای نشانه های دسترسی - RFC 9068 ، استانداردی برای نشانه های دسترسی ساخت یافته
  • درونگرایی توکن - RFC 7662 ، برای تعیین وضعیت فعال و اطلاعات متا یک نشانه
  • ابطال توکن - RFC 7009 ، برای نشان دادن اینکه دیگر یک توکن به دست آمده دیگر نیازی نیست
  • Json Web Token - RFC 7519
  • تبادل توکن - RFC 8693

  کشف و ثبت نام

  • مجوز سرور ابرداده - RFC 8414 ، برای اینکه مشتریان بتوانند نقاط پایانی OAuth و قابلیت های سرور مجوز را کشف کنند
  • ثبت نام مشتری پویا - RFC 7591 ، برای ثبت نام برنامه ریزی مشتری OAUTH
  • مدیریت ثبت نام مشتری پویا - RFC 7592 تجربی ، برای به روزرسانی و مدیریت مشتریان OAUTH ثبت شده پویا

  امنیت بالا

  این مشخصات برای افزودن خصوصیات امنیتی اضافی در بالای OAUTH 2. 0 استفاده می شود.

  • درخواست های مجوز تحت فشار (PAR) - RFC 9126
  • تظاهرات اثبات تملک (DPOP)
  • TLS متقابل - RFC 8705
  • کلید خصوصی JWT - (RFC 7521 ، RFC 7521 ، OpenID)
  • فپی

  مشخصات تجربی و پیش نویس

  مشخصات زیر یا آزمایشی یا در پیش نویس وضعیت است و هنوز هم موارد گروه کاری فعال است. آنها به احتمال زیاد قبل از نهایی شدن به عنوان RFC یا BCPS تغییر خواهند کرد.

  • درخواست های مجوز غنی (RAR)
  • مجوز افزایشی
  • چالش احراز هویت قدم
  • تمام اسناد کارگروه OAUTH

  پسوندهای اضافی

  • رجیستری پارامتر پسوند OAUTH
  • چارچوب ادعاهای OAUTH - RFC 7521
  • SAML2 BEARER DISERTION - RFC 7522 ، برای ادغام با سیستم های هویت موجود
  • ادعای حامل JWT - RFC 7523
  • شناسایی صادرکننده سرور مجوز - RFC 9207 ، شناسه سرور مجوز را در پاسخ مجوز نشان می دهد

  کار مرتبط با جوامع دیگر

  • FAPI (بنیاد OpenID)
  • WebAuthn - احراز هویت وب
  • PassKeys روشی جدید برای ورود به خدمات بدون رمز عبور است
  • امضای پیام های HTTP - مشخصات امضای پیام HTTP عمومی
  • OpenId برای اعتبار قابل اثبات

  منابع جامعه

  • OAUTH 2. 0 ساده شده است
  • کتابهای مربوط به اووت
    • Oauth 2. 0 ساده شده توسط هارون پراکی
    • Oauth 2 در عمل توسط جاستین ریچر و آنتونیو سانسو
    • تسلط Oauth 2. 0 توسط چارلز بیهیز
    • کتاب آشپزی OAUTH 2. 0 توسط آدولفو الوی ناسنتو

    پروتکل های ساخته شده در OAuth 2. 0

    • OpenID Coect (بنیاد OpenID)
    • اوما 2. 0 (کانتارا)
    • Indieauth (W3C)

    کد و خدمات

    • کد و خدمات OAUTH 2. 0

    OAUTH 2. 1

    • OAUTH 2. 1 - یک به روزرسانی در حال انجام برای ادغام و ساده کردن OAUTH 2. 0
    • وقت آن است برای OAUTH 2. 1 (توسط هارون پراکی)

    میراث

    • OAUTH 1. 0 و 1. 0A