Protocolli di autenticazione del sito web
I sistemi di autenticazione sono la spina dorsale di molti siti web. Permette agli utenti di accedere al tuo sito e di conservare i dati tra una visita e l’altra. È fondamentale per offrire un’esperienza utente robusta che ricompensi i tuoi utenti per aver fornito i loro dati. Le autenticazioni spesso forniscono l’accesso a dati personali privati che, se resi pubblici, potrebbero danneggiare l’utente. Per evitare ciò, i protocolli di autenticazione sono stati creati per proteggere le richieste mentre permettono agli utenti di accedere in modo sicuro al vostro sistema da qualsiasi ambiente.
Basic SSL Auth
Basic auth è la forma più semplice di autenticazione web. Utilizza intestazioni HTTP standard al posto di soluzioni più complicate che si basano su cookie, identificatori di sessione e pagine di login. C’è molta poca sicurezza incorporata nel sistema di autenticazione di base. Le credenziali sono trasmesse solo con la codifica Base64 e non sono crittografate o hash. A causa delle insicurezze radicate nel sistema, queste richieste sono più spesso fatte via HTTPS.
Le informazioni di autorizzazione dovrebbero essere compilate nel seguente formato e incluse nell’intestazione:
Formato:
<!--Authorization: Basic -->
I dettagli completi sul protocollo Basic Authentication possono essere trovati qui: http://www.w3.org/Protocols/HTTP/1.0/spec.html#AA
Digest Auth
Digest Auth funziona in modo simile all’autenticazione SSL di base con l’eccezione che la password è criptata usando un hash a senso unico. Utilizza l’hashing crittografico MD5 con un nonce (un valore generato dal server che previene gli attacchi replay).
Il tipico flusso di una richiesta Digest Auth è :
- Un utente naviga verso una pagina che richiede che l’utente sia autenticato.
- Il server risponde con un messaggio 401 che indica che un utente non è attualmente autorizzato ad accedere al contenuto. Nella risposta include anche il nonce che sarà utilizzato durante l’autorizzazione per prevenire attacchi di replay,
- Il sito visualizza quindi un’interfaccia di autenticazione al fine di raccogliere i dettagli richiesti (nome utente e password)
- I dettagli forniti sono reinviati al server con un’intestazione di autenticazione inclusa nella richiesta che ha un codice di risposta.
- Il server verificherà le credenziali fornite e accetterà l’autenticazione o restituirà un messaggio 401 se le credenziali non sono corrette, il che farà sì che all’utente venga nuovamente richiesta l’interfaccia di autenticazione.
Puoi trovare tutti i dettagli sul protocollo Digest Auth qui: https://www.ietf.org/rfc/rfc2617.txt
Outh 1.0
Il protocollo OAuth 1.0 si basa sull’avere un segreto condiviso tra il server e il sito. Questo segreto condiviso è usato per generare una firma che è inclusa nella richiesta. La firma generata è usata per verificare sul lato server la validità della richiesta di autenticazione. Il processo di autorizzazione dell’utente è generalmente gestito in tre fasi (3-legged OAuth):
- Il sito ottiene il Request Token.
- L’utente autorizza il Request Token.
- Il sito scambia il Request Token con Access Token.
Il processo di completamento di una richiesta OAuth a 3 gambe sarà generalmente gestito come segue:
-
Il sito invierà una richiesta firmata per il Request token. Questa richiesta dovrebbe contenere i seguenti parametri:
- outh_consumer_key
- outh_timestamp
- outh_nonce
- outh_signature
- outh_signature_method
- outh_version
- outh_callback
Questa richiesta sarà convalidata sul server e se convalidata restituirà il token di richiesta nel seguente formato:
- outh_token
- outh_token_secret
- e qualsiasi altro parametro aggiuntivo restituito dal server.
- Il passo successivo al recupero del token di richiesta è quello di chiedere all’utente di inserire le proprie credenziali di accesso. Queste sono poi formattate in una firma con il token di richiesta oauth_token e inviate con una richiesta al server per la convalida. Se la convalida di questa richiesta ha successo, il server restituirà quanto segue:
- oauth_token
- outh_verifier
Questi saranno usati nel passo successivo per recuperare un token di accesso.
- Il passo finale è lo scambio dei dettagli recuperati dal passo 2 con un token di accesso, che sarà usato per accedere alle risorse del server. Per scambiare il tuo token di richiesta con un token di accesso, puoi fare una richiesta al server con la seguente richiesta firmata
- oauth_token – restituito dal passo 2
- oauth_consumer_key
- outh_nonce
- outh_signature
- outh_signature_method
- auth_version
- outh_verifier -restituito dal passo 2
Questo ti restituirà un token di accesso da usare insieme al tuo segreto per fare richieste di informazioni dal server.
Puoi trovare tutti i dettagli sul protocollo OAuth 1.0 qui: https://tools.ietf.org/html/rfc5849
OAuth 2.0
Questo è simile al protocollo OAuth 1.0, si basa su un id e un segreto del client per formattare la richiesta, ma semplifica molto del complicato processo di firma che è inerente al sistema OAuth 1.0. Il processo per autorizzare un utente usando il protocollo OAuth 2.0 a 3 gambe è il seguente0 è il seguente:
-
L’utente è diretto al servizio per l’autorizzazione con i seguenti dettagli inclusi nell’URL di autorizzazione:
- client_id
- redirect_uri
- response_type
- scope
-
L’utente si autentica con il servizio e garantisce all’applicazione l’accesso ai suoi dati. Se l’autenticazione ha successo, l’utente viene reindirizzato al redirect_uri con i seguenti parametri:
- code
- state
-
Il codice restituito nel passo 2 viene poi usato dall’applicazione per fare una richiesta di un token di accesso. Incluso in questa richiesta dovrebbe essere:
- client_id
- client_secret
- code
- redirect_uri
- grant_type – Questo dovrebbe essere impostato su “authorization_code”
Il server verifica questi dettagli e poi restituisce un token di accesso con una scadenza se sono validi. Questi sono generalmente restituiti nel seguente formato:
- access_token
- expires_in
- refresh_token
Puoi trovare dettagli completi sul protocollo OAuth 2.0 qui: http://oauth.net/2/
I protocolli di autenticazione ti permettono di proteggere i tuoi dati con diversi livelli di sicurezza. A seconda dei dati a cui si accede e del livello di sicurezza desiderato, l’implementazione di uno dei protocolli di cui sopra vi permette di essere sicuri che i vostri dati siano al sicuro e che vi accedano solo gli utenti autorizzati al vostro sistema.