OAuth 2.0 verstehen: Wer übergibt das Zugangs -Token an Ihren Webbrowser?

Tauchen Sie in die Feinheiten des OAuth 2.0 -Autorisierungscodeflusses ein und erfahren Sie, wie Zugangsantriebsantrieb verwaltet werden. In diesem Leitfaden wird klargestellt, wie Ihr Webbrowser mit Zugriffstoken interagiert. --- Dieses Video basiert auf der Frage https://stackoverflow.com/q/70335208/ vom Benutzer 'kid_learning_c' (https://stackoverflow.com/u/3703783/) und auf die Antwort https://stackoverflow.com/a/70349680/Bousal 'MichalLows.com/70349680/Bous' M. https://stackoverflow.com/u/1712294/) auf der Website von 'Stack Overflow'. Dank dieser großartigen Nutzer und Stackexchange -Community für ihre Beiträge. Besuchen Sie diese Links für Originalinhalte und weitere Details, z. B. alternative Lösungen, neueste Updates/Entwicklungen zu Themen, Kommentaren, Revisionsgeschichte usw. Der ursprüngliche Titel der Frage lautete: OAuth 2.0: Im Autorisierungscodefluss, wer übergibt schließlich den Zugriffstoken an meinen Webbrowser? Auch Inhalte (außer Musik) lizenziert unter CC BY-SA https://meta.stackexchange.com/help/licensing Der ursprüngliche Fragenposten ist unter der 'CC By-Sa 4.0' (https://creativvecommons.org/licenses/SA/4.0/) lizenziert. https://creativcommons.org/licenses/by-sa/4.0/) Lizenz. Wenn Ihnen etwas scheinbar erscheint, schreiben Sie mir bitte mit Vlogize [at] gmail [dot] com. --- OAuth 2.0 verstehen: Wer übergibt das Zugangs-Token an Ihren Webbrowser? In der Welt der Webanwendungen hat die Sicherung von Benutzerinformationen gleichzeitig einen nahtlosen Zugriff. Hier kommt OAuth 2.0 ins Spiel, insbesondere dessen Autorisierungscodefluss. Aber haben Sie sich jemals gefragt, wer das Zugangs -Token während dieses Prozesses genau an Ihren Webbrowser übergibt? Lassen Sie uns diese schrittweise aufschlüsseln. Was ist OAuth 2.0? OAuth 2.0 ist ein Framework, mit dem Drittanbieter Anwendungen eingeschränkten Zugriff auf die Daten eines Benutzers erhalten können, ohne die Anmeldeinformationen des Benutzers aufzudecken. Dies geschieht durch verschiedene Zuschussarten, die Methoden zum Erhalten eines Zugangstokens sind. Der Berechtigungscodefluss ist eine solche Methode, die hauptsächlich von Webanwendungen verwendet wird. Der Autorisierungscode -Flow erläuterte Schritt 1: Autorisierungsanforderung Der Benutzer initiiert eine Anfrage zum Zugriff auf eine vom Autorisierungsserver geschützte Ressource. Der Benutzer wird auf den Autorisierungsserver umgeleitet, auf dem er sich authentifiziert. Nach der Authentifizierung leitet der Autorisierungsserver mit einem Autorisierungscode in die Anwendung zurück. Schritt 2: Token -Austausch Der Webbrowser erhält den Autorisierungscode und sendet ihn an das Backend der Anwendung. Die Backend -Anwendung sendet dann eine Anfrage an den Endpunkt des Autorisierungsservers /OAuth /Token, um den Autorisierungscode gegen einen Zugriffs -Token auszutauschen. Schritt 3: Erstellen von Benutzersitzungen Sobald die Anwendung das Zugriffstoken über den Autorisierungsserver empfängt, kann eine Benutzersitzung im Webbrowser festgelegt werden. Dies ist entscheidend, da es einen Benutzer von einem anderen unterscheidet und seine jeweiligen Sitzungen innerhalb der Anwendung beibehält. Erhält der Browser das Zugangstoken? Hier ist die zentrale Klarstellung: Der Browser benötigt nicht das Zugangs -Token selbst. Dies unterscheidet sich grundlegend von dem impliziten Fluss, bei dem das Token direkt an den Browser gesendet wird, der für nachfolgende Anforderungen verwendet werden soll. In diesem Codefluss werden die Prozesse auf der Serverseite behandelt, wodurch Zugriffstoken vom direkten Handling des Browsers isoliert werden. Warum nutzt der Browser den Zugriffstoken nicht? Browser können nicht mit Token umgehen: Webbrowser, indem sie Access -Token nicht genauso verstehen oder verwalten, wie sie Cookies oder andere Sitzungskennungen verarbeiten. Sitzungsverwaltung: Anstatt sich auf das Token für die Interaktion zu verlassen, verwendet die Anwendung Sitzungen, um die Authentifizierung und Autorisierung der Benutzer zu verfolgen. Die Rolle des Sitzungsmanagements Wenn Ihre Anwendung das Zugriffstoken empfängt, sollte sie idealerweise eine Sitzung für den angemeldeten Benutzer im Browserkontext erstellen. Dies bedeutet, dass jedes Mal, wenn der Benutzer mit der Anwendung interagiert, die erforderlichen Autorisierungen über diese Sitzung verwaltet werden, anstatt das tatsächliche Token zu verpflichten, jede Anfrage zu begleiten. Wichtige Punkte zu beachten: Die Anwendung verarbeitet den Zugriffsstoken sicher und verwendet sie, um API -Aufrufe zu authentifizieren. Wenn das primäre Ziel einfach ist, Benutzer einfach zu authentifizieren, kann das herkömmliche Sitzungsmanagement ausreichen, anstatt OAuth vollständig zu implementieren. Schlussfolgerung Verständnis des Verhaltens von OAuth 2.0 in Verbindung mit der Verwaltung von Benutzersitzungen ermöglicht es Entwicklern und Benutzern, grundlegende Sicherheitspraktiken in Webanwendungen zu erfassen. Während die Anwendung das Zugangsantrieb verwaltet, ist es wichtig, ein effektives Sitzungsmanagement zu haben, um sicherzustellen, dass Benutzer mit der Anwendung interagieren können, ohne sensible Token direkt in ihren Browsern aufzudecken. Dies verbessert sowohl die Sicherheit als auch die Benutzererfahrung. Indem Sie die Reise des Zugangstokens durch den Autorisierungscodefluss entmystifizieren, können Sie die Interaktionen Ihrer Anwendung mit Benutzern besser sichern