کتاب استاندارد OAuth 2.0

کتاب استاندارد OAuth 2.0 اثری از گروه مهندسی اینترنت (IETF) و ترجمۀ کسری دولت خواهی و مینا رستم پور است. این کتاب را انتشارات راه پرداخت منتشر کرده است.

درباره کتاب استاندارد OAuth 20

برای جواب به این سؤال که OAuth چیست باید کمی مقدمه‌چینی کرد، اما در یک کلام، OAuth یک استاندارد اینترنتی است و OAuth ۲.۰ ایمن‌ترین استاندارد به اشتراک‌گذاری داده در بازار است. این استاندارد به کاربران اینترنت این اجازه را می‌دهد که اطلاعات کاربری خود را بدون اشتراک‌گذاری نام کاربری و گذرواژه‌شان به‌صورت امن با ارائه‌دهندگان خدمات دیگر به اشتراک بگذارند. چارچوب مجوز OAuth برای برنامهٔ شخص ثالث، دستورالعملی با ساختاری پیچیده و تودرتو است و واژگان آن باتوجه‌به ماهیتش بسیار دقیق انتخاب شده‌اند. این واژگان طوری بیان نشده‌اند که بتوانیم گام‌به‌گام با آن پیش برویم و OAuth را یاد بگیریم؛ در واقع این سند ما را وارد مازی پیچیده می‌کند که باید به طریقی راه خودمان را از میان آن پیدا کنیم. دشوارترین بخش OAuth همین است که مخاطب باید بفهمد کوره‌راه‌های این مسیر چگونه با هم ارتباط پیدا می‌کند. با مطالعهٔ این کتاب، با چارچوب مجوزدهی به برنامه‌های اینترنتی آشنا می‌شوید.

خواندن کتاب استاندارد OAuth 20 را به چه کسانی پیشنهاد می‌کنیم

این کتاب برای افراد علاقه‌مند به مباحث اینترنتی مناسب و کاربردی است.

بخشی از کتاب استاندارد OAuth 20

«وقتی به هتلی مراجعه می‌کنیم، ابتدا نزد مسئول پذیرش می‌رویم و کارت شناسی خود را تحویل می‌دهیم. در مقابل مسئول پذیرش هتل کارت کلیدی در اختیار ما می‌گذارد که با واردکردن آن در کارت‌خوان ورودی می‌توانیم وارد اتاق خود شویم. این مشابه تبادلی است که در پروتکل OAuth انجام می‌شود. برای کارت کلید مهم نیست که ما چه کسی هستیم. قرار نیست کارت کلید شناسه کاربری منحصربه‌فرد یا نام ما را بداند. صرفاً دردست‌داشتن کارت کلید کافی است تا در اتاق باز شود و این امر هم با تصمیم و به اختیار میز پذیرش صورت می‌گیرد. اینجا، مسئول پذیرش مانند سرور مجوز عمل می‌کند و کارت کلید در نقش توکن دسترسی API یا سرور منبع است. این مثال نشان می‌دهد که یک API و یک سیستم با پروتکل OAuth می‌تواند بدون نیاز به دانستن هویت کاربر کار کند. البته ممکن است متناسب با برخی کاربری‌ها لازم باشد که API از هویت کاربر مطلع شود. در این شرایط، OAuth کمکی نمی‌کند، بلکه برای احراز هویت کاربر به امکانی فراتر از OAuth و ابزارهای مانند OpenID connect نیاز خواهیم داشت.

OAuth در ابتدا برای برنامه شخص ثالث ایجاد شده بود. فیس‌بوک می‌خواست از طریق Google به مخاطبین شما دسترسی پیدا کند، اما به‌مرور همه چیز بالغ شد. حالا چارچوب OAuth برای برنامه‌های شخص اول نیز راه‌حلی بسیار خوب ارائه می‌دهد. هنگامی‌که به gmail.com مراجعه می‌کنید و روی ورود کلیک می‌کنید، Gmail از شما رمز عبور نمی‌خواهد، بلکه برای واردشدن (Login) شما را به حساب‌های Google’s OAuth server مانند Google.com ارجاع می‌دهد.

این روش ورود به یک برنامه چند مزیت عمده دارد. برخی حساب‌های گوگل رمز عبور ندارند، چراکه راه‌های دیگری برای ایجاد یک حساب گوگل وجود دارد. یکی از این راه‌ها تفویض اختیار به یک ارائه‌دهنده هویت دیگر است. در این موقعیت، ابتدا آدرس ایمیل خود را وارد می‌کنید و سپس تعیین می‌کنید که چگونه وارد خواهید شد. اگر بخواهید تأیید دومرحله‌ای را انجام دهید، در ادامه گوگل رمز عبورتان را می‌خواهد و از شما در مورد دوفاکتوری‌شدن روند تأیید می‌پرسد. در واقع، با هر روشی که وارد گوگل شوید، سرورهای مجوز هویت کاربر را احراز می‌کنند و بعد از تأیید به Gmail باز می‌گردید و حالا Gmail به شما اجازه ورود می‌دهد. زیرا یک توکن دسترسی ایجاد شده و الان موجود است و این تنها چیزی است که Gmail برای صدور مجوز ورود به آن نیاز دارد.»