«Зачем нам OAuth и тем более 2.0: как настроить авторизацию сторонних сервисов в приложении»

Transcript

1. Зачем нам OAuth и тем более 2.0 Как настроить авторизацию

   сторонних сервисов в приложении Юлия Никитина, [email protected]

2. Что будет 1.Как появился OAuth 2.0 и чем он отличается

   от OAuth 1.0 2.Как работают access и refresh токены 3.Примеры реализации, плюсы и минусы 4.Новые способы использования в iOS 12/13 и пара слов о SignIn with Apple 2

3. Чего не будет 1.Алгоритмов шифрования 2.Сложных терминов 3.Доклада на 60

   минут

4. Preface

5. Где используется OAuth 2.0

6. Где используется OAuth 2.0

7. Как дать доступ другому приложению без OAuth Вариант №1. Вводить

   пароль для каждого действия в приложении

8. Как дать доступ другому приложению без OAuth Вариант №2. Отдать

   свой пароль от сервиса стороннему приложению Вариант №1. Вводить пароль для каждого действия в приложении

9. Как дать доступ другому приложению без OAuth Вариант №2. Отдать

   свой пароль от сервиса стороннему приложению Вариант №1. Вводить пароль для каждого действия в приложении

10. Как появился OAuth 1.0 FlickrAuth AuthSub BBAuth (Browser-Based Auth)

11. Решение Выдать приложению временный токен с ограниченным сроком действия вместо

    реального пароля пользователя

12. Как появился OAuth 1.0 Blaine Cook, chief architect, Twitter "We

    want something like Flickr Auth / Google AuthSub / Yahoo! BBAuth, but published as an open standard, with common server and client libraries, etc"

13. Как появился OAuth 1.0 FlickrAuth AuthSub + = ❤ https://tools.ietf.org/html/rfc5849

14. Как появился OAuth 2.0 Yahoo! Facebook Salesforce Microsoft Twitter Foursquare

    Deutsche Telekom Intuit Mozilla Google Eran Hammer + = https://tools.ietf.org/html/rfc6749

15. Как появился OAuth 2.0 22 полных пересмотра спецификации "protocol" ->

    "framework" в 2012 Eran Hammer выходит из рабочей группы и просит удалить свое имя из списка авторов

16. Как работает OAuth 2.0 OAuth

17. OAuth 1.0 vs OAuth 2.0 client consumer resource owner service

    provider user resource server нет разделения на resource server и auth server появились роли: client, auth server, resource server, resource owner protocol жесткие правила framework рекомендации к реализации

18. Как работает OAuth 2.0 Intuit Zaim Tumblr Slack Uber Gitter

    Facebook Spotify Trello Buffer Goodreads Typetalk SoundCloud Doper NounProject Twitter Flickr Github Instagram Foursquare Fitbit Withings Linkedin Dropbox Dribbble Salesforce BitBucket GoogleDrive

19. Flow OAuth 2.0 Зарегистрировать приложение у провайдера и получить client

    id Создать/получить URL для логина пользователя Открыть URL После успешного логина получить код авторизации Вернуться в приложение по redirect-ссылке 1 2 3 4 5 6 Обменять код на access token

20. Flow OAuth 2.0 Зарегистрировать приложение у провайдера и получить client

    id Создать/получить URL для логина пользователя Открыть URL После успешного логина получить код авторизации Вернуться в приложение по redirect-ссылке 1 2 3 4 5 6 Обменять код на access token

21. Flow OAuth 2.0 Зарегистрировать приложение у провайдера и получить client

    id Создать/получить URL для логина пользователя Открыть URL После успешного логина получить код авторизации Вернуться в приложение по redirect-ссылке 1 2 3 4 5 6 Обменять код на access token Зарегистрировать приложение у провайдера и получить client id

22. Flow OAuth 2.0 https://github.com/login/oauth/authorize URL для WebView, где будет авторизовываться

    пользователь

23. Flow OAuth 2.0 https://github.com/login/oauth/authorize? client_id=12345fdfd111 URL для WebView, где будет

    авторизовываться пользователь

24. Flow OAuth 2.0 https://github.com/login/oauth/authorize? client_id=12345fdfd111& redirect_uri=joliejuly.GitHubTest://redirect URL для WebView, где

    будет авторизовываться пользователь

25. Flow OAuth 2.0 GET https://github.com/login/oauth/authorize? client_id=12345fdfd111& redirect_uri=joliejuly.GitHubTest://redirect& scope=repo URL для

    WebView, где будет авторизовываться пользователь

26. Flow OAuth 2.0 Зарегистрировать приложение у провайдера и получить client

    id Создать/получить URL для логина пользователя Открыть URL После успешного логина получить код авторизации Вернуться в приложение по redirect-ссылке 1 2 3 4 5 6 Обменять код на access token

27. Flow OAuth 2.0 Зарегистрировать приложение у провайдера и получить client

    id Создать/получить URL для логина пользователя Открыть URL После успешного логина получить код авторизации Вернуться в приложение по redirect-ссылке 1 2 3 4 5 6 Обменять код на access token

28. Flow OAuth 2.0 Зарегистрировать приложение у провайдера и получить client

    id Создать/получить URL для логина пользователя Открыть URL После успешного логина получить код авторизации Вернуться в приложение по redirect-ссылке 1 2 3 4 5 6 Обменять код на access token

29. URL Scheme URL для того, чтобы открыть приложение после успешной

    авторизации в браузере

30. Flow OAuth 2.0 https://github.com/login/oauth/access_token URL для обмена кода на токен

31. Flow OAuth 2.0 https://github.com/login/oauth/access_token? client_id=12345fdfd11 URL для обмена кода на

    токен

32. Flow OAuth 2.0 https://github.com/login/oauth/access_token? client_id=12345fdfd11& client_secret=0000032323232111110000777 URL для обмена кода

    на токен

33. Flow OAuth 2.0 POST https://github.com/login/oauth/access_token? client_id=12345fdfd11& client_secret=0000032323232111110000777&
 code=512a1c5309024264d853 URL для

    обмена кода на токен

34. Flow OAuth 2.0 Зарегистрировать приложение у провайдера и получить client

    id Создать/получить URL для логина пользователя Открыть URL После успешного логина получить код авторизации Вернуться в приложение по redirect-ссылке 1 2 3 4 5 6 Обменять код на access token

35. Flow OAuth 2.0 Зарегистрировать приложение у провайдера и получить client

    id Создать/получить URL для логина пользователя Открыть URL После успешного логина получить код авторизации Вернуться в приложение по redirect-ссылке Обменять код на access token URL для логина код авторизации URL для access токена

36. Access / Refresh

37. Access / Refresh Refresh token Access token Access Token Protected

    Resource

38. Access / Refresh Access token дает доступ, который действует ограниченное

    время (например, час) Refresh token используется вместо access token'а, когда истечет его срок действия. Refresh token действует несколько месяцев

39. Реализация через библиотеки pod 'GoogleSignIn' pod 'FBSDKLoginKit'

40. Google Sign In

41. OAuthSwift

42. OAuthSwift oauthswift = OAuth2Swift( consumerKey: "********", consumerSecret: "********", authorizeUrl: "https://api.instagram.com/oauth/authorize",

    responseType: "token" ) let handle = oauthswift.authorize( withCallbackURL: URL(string: "oauth-swift://oauth-callback/ instagram"), scope: "likes+comments", state:"INSTAGRAM") { result in switch result { case .success(let (credential, response, parameters)): print(credential.oauthToken) case .failure(let error): print(error.localizedDescription) } }

43. ASWebAuthenticationSession - iOS 12 SFAuthenticationSession - iOS 11 func login()

    { let authUrl = makeAuthorizeUrl() webAuthSession = ASWebAuthenticationSession( url: authUrl, callbackURLScheme: Constants.callbackScheme) { [weak self] (callbackUrl, error) in guard let url = callbackUrl, error == nil else { return } let components = URLComponents(string: url.absoluteString) if let codeItem = components?.queryItems?.first(where: { $0.name == Constants.responseType}), let code = codeItem.value { self?.exchangeCodeToToken(code) } } webAuthSession?.start() } import AuthenticationServices

44. Sign in with Apple - iOS 13

45. Learn more https://www.oauth.com

46. Learn more • как работать с refresh токенами - https://auth0.com/blog/

    refresh-tokens-what-are-they-and-when-to-use-them/ • JWT Handbook от auth0.com 
 https://auth0.com/resources/ebooks/jwt-handbook • ASWebAuthenticationSession - https://dev.to/robotsquidward/ quick-guide-to-aswebauthenticationsession-api-changes-in- ios-13-4m8i • ASWebAuthenticationSession 2 - https://ajkueterman.dev/ posts/sfauthenticationsession-and- aswebauthenticationsession/
47. None