ما هو بروتوكول أوث OAuth

الرئيسية » لبيبة » انترنت » ما هو بروتوكول أوث OAuth
ما هو بروتوكول اوث

بروتوكول أوث OAuth هو اختصار لـــ open Authorization أي التفويض المفتوح وهو مجموعة من القواعد التي تسمح لموقع أو تطبيق ما تابع لجهة خارجية بالوصول إلى بيانات المستخدم دون أن يحتاج المستخدم إلى مشاركة بيانات اعتماد تسجيل الدخول.

حيث يمكّن بروتوكول أوث OAuth مفتوح المصدر المستخدمين من مشاركة بياناتهم ومواردهم المخزنة على موقع واحد مع موقع آخر بموجب نظام تفويض آمن، كمايعرف OAuth أيضًا باسم OAuth Core.

إن أول ظهور للبروتوكول كان عام 2006، حيث قام بتطويره بلاين كوك الذي كان يعمل بتطوير المصادقة open ID  الخاصة بتويتر حيث لاحظ أنها غير كافية، فقام بالتعاون مع كريس ميسنا بابتكار بروتوكول أوث الاصدار الأول.

كيفية عمل بروتوكول أوث OAuth

هنالك ثلاث أطراف في بروتوكول أوث عليك بمعرفتها لكي تتمكن من فهم طريقة عمله وهي :

  • عميل  oath (التطبيق الذي يريد الوصول إلى بيانات الاعتماد الخاصة بك).
  • مزود الخدمة لـ oath (على سبيل المثال. Facebook ، twitter …).
  • المالك (الشخص الذي يملك حساب الفيسبوك، تويتر .. او غيره).

يسمح OAuth بإخبار مزود الخدمة (مثل Facebook) بأن مالك الخدمة (على سبيل المثال أنت) يمنح إذنًا لطرف ثالث (على سبيل المثال تطبيق Gmail) الوصول إلى معلوماته (على سبيل المثال، قائمة أصدقائك).

دعونا نشرح الأمر بمثال ملموس كالانضمام إلى شبكة اجتماعية أخرى!

لنفترض أن لديك حساب Gmail ولقد قررت الانضمام إلى LinkedIn، إن عملية  إضافة كل أصدقائك العديدين والكثيرين يدويًا أمر مملّ وعرضة للخطأ، قد تشعر بالضجر في منتصف العملية أو ترتكب العديد من الأخطاء المطبعية في عنوان البريد الإلكتروني الخاص بهم للدعوة، لذلك قد تميل إلى عدم إنشاء حساب بعد كل شيء.

في مواجهة هذا الموقف ، لدى LinkedIn فكرة جيدة  وهو برنامج يضيف قائمة أصدقائك تلقائيًا لأن أجهزة الكمبيوتر أكثر كفاءة وفعالية في المهام المجهدة، ولتبادل قائمة جهات الاتصال هذه، يجب أن تمنح LinkedIn اسم المستخدم وكلمة المرور لحساب Gmail الخاص بك، مما يمنحهم الكثير من القوة، وهذا أمر خاطئ تمامًا مما يجعل حسابك عرضة للخطر.

وهنا تأتي أهمية بروتوكول أوث فإذا كان Gmail يدعم بروتوكول OAuth ، فيمكن لـ LinkedIn أن تطلب منك السماح لهم بالوصول إلى قائمة جهات اتصال Gmail الخاصة بك فقط دون تعريض باقي معلومات حسابك للخطر، حيث هنالك عدة مستويات من السماح في بروتوكول أوث وهي:

للقراءة فقط أو للقراءة والكتابة معًا

وهذا يسمح لك بمنح حق الوصول إلى قائمة المستخدمين أو الوصول الثنائي الاتجاه لمزامنة أصدقائك الجدد في LinkedIn مع جهات اتصال Gmail الخاصة بك.

الوصول إلى التفاصيل

يمكنك أن تقرر منح الوصول إلى معلومات الاتصال الخاصة بك (اسم المستخدم، البريد الإلكتروني، تاريخ الميلاد، إلخ) أو إلى قائمة أصدقائك، والتقويم، وغير ذلك.

كما يمكنك أوث من الغاء اتصالك في اي وقت تريده.

ما هي إصدارات أوث OAuth

هناك إصداران OAuth 1.0 و OAuth 2.0. وهما مختلفان عن بعضها البعض تمامًا، ولا يمكن استخدامها معًا، أي لا يوجد توافق خلفي بينهما.

أيهما أكثر شعبية؟ في الوقت الحاضر، يعتبر OAuth 2.0 الشكل الأكثر استخدامًا من OAuth، الذي لم يعد تقريبًا يستخدم بعد الآن.

OAuth Core 1.0

يمكّن بروتوكول OAuth مواقع الويب أو التطبيقات (العملاء) من الوصول إلى الموارد المحمية من إحدى خدمات الويب (مقدم الخدمة) عبر واجهة برمجة التطبيقات ، دون مطالبة المستخدمين بالكشف عن بيانات اعتماد مقدم الخدمة الخاصة بهم إلى المستهلكين.

لا يتطلب OAuth وجود واجهة مستخدم أو نمط تفاعل محدد، كما أنه لا يحدد كيفية مصادقة مقدمي الخدمة للمستخدمين، مما يجعل البروتوكول مناسبًا بشكل مثالي للحالات التي تكون فيها بيانات اعتماد المصادقة غير متاحة للمستهلك، كما هو الحال مع OpenID.

OAuth 2.0 Core

OAuth 2.0 هو بروتوكول متوافق مع معايير الصناعة، حيث يحل OAuth 2.0 محل العمل المنجز في بروتوكول OAuth الأصلي الذي تم إنشاؤه في عام 2006، ويركز OAuth 2.0 على بساطة مطوري البرامج مع توفير تدفقات تفويض محددة لتطبيقات الويب وتطبيقات سطح المكتب والهواتف المحمولة وأجهزة غرفة المعيشة، ويتم تطوير هذه المواصفات وإضافاتها ضمن مجموعة عمل IETF OAuth.1

أخيراً لابد من التنويه إلى أن استخدام أي تطبيق وسيط يطلب من المستخدم الوصول الى ملفات خاصة مثل فيسبوك او تويتر أوغيره ولا يستخدم بروتوكول أوث هو تطبيق غير موثوق وغير أمن ولايجب استخدامه، إذ مع وجود هذا البروتوكول لايوجد اي سبب لتقديم بيانات المصادقة بأي شكل كان.2 3

المراجع