authentication

  • ХабрахабрФото Тонкости авторизации: обзор технологии OAuth 2.0

    Тонкости авторизации: обзор технологии OAuth 2.0

    Информационная система Dodo IS состоит из 44 различных сервисов, таких как Трекер, Кассы ресторана или Базы знаний и многих других. 3 года назад мы написали сервис Auth для реализации сквозной аутентификации, а сейчас пишем уже вторую версию. В основе сервиса лежит стандарт авторизации OAuth 2.0. Он довольно сложный, но если будете работать над аналогичным сервисом, стандарт вам пригодится. В этой…

    Читать далее »
  • ХабрахабрФото История архитектуры Dodo IS: путь бэкофиса

    История архитектуры Dodo IS: путь бэкофиса

    Хабр меняет мир. Больше года мы ведём свой блог. Где-то полгода назад нам прилетел вполне логичный фидбэк от хабровчан: «Додо, вот вы везде говорите, что у вас своя система. А что это за система? И зачем она нужна сети пиццерий?». Мы посидели, подумали и поняли, что вы правы. Мы пробуем объяснить всё на пальцах, но выходит рваными кусками и нигде…

    Читать далее »
  • ХабрахабрФото Безопасность REST API от А до ПИ

    Безопасность REST API от А до ПИ

    Введение Умение реализовать грамотное REST API — полезный навык в наше время, т.к. все больше сервисов предоставляют свои возможности с помощью API. Но разработка REST API не ограничивается реализацией HTTP запросов в определенном стиле и формированием ответов в соответствии со спецификацией. Задача обеспечения безопасности REST API не так очевидна, как, например, обеспечение безопасности баз данных, но ее необходимость не менее…

    Читать далее »
  • ХабрахабрФото Современные стандарты идентификации: OAuth 2.0, OpenID Connect, WebAuthn

    Современные стандарты идентификации: OAuth 2.0, OpenID Connect, WebAuthn

    Пускать или не пускать? Вот в чем вопрос… Сейчас на многих сайтах мы видим возможность зарегистрироваться или войти с помощью соцсетей, а некоторые сайты предлагают использовать внешние ключи безопасности или отпечатки пальцев. Что это? Стандарты с хорошо проработанной безопасностью или проприетарные реализации? Можем ли мы доверять этим технологиям и использовать их для разработки сайтов и в повседневной жизни? Давайте разбираться.…

    Читать далее »
  • ХабрахабрФото IdentityServer4. Основные понятия. OpenID Connect, OAuth 2.0 и JWT

    IdentityServer4. Основные понятия. OpenID Connect, OAuth 2.0 и JWT

    Этим постом я хочу открыть ветку статей посвященную IdentityServer4. Начнем мы с основных понятий. Самым перспективным на текущий момент протоколом аутентификации является OpenID Connect, а протоколом авторизации (предоставления доступа) является OAuth 2.0. IdentityServer4 реализует эти два протокола. Он оптимизирован для решения типичных проблем безопасности. OpenID Connect — это протокол и стандарт аутентификации, он не дает доступ к ресурсам (Web API),…

    Читать далее »
  • ХабрахабрФото IdentityServer4. Основные понятия. OpenID Connect, OAuth 2.0 и JWT

    IdentityServer4. Основные понятия. OpenID Connect, OAuth 2.0 и JWT

    Этим постом я хочу открыть ветку статей посвященную IdentityServer4. Начнем мы с основных понятий. Самым перспективным на текущий момент протоколом аутентификации является OpenID Connect, а протоколом авторизации (предоставления доступа) является OAuth 2.0. IdentityServer4 реализует эти два протокола. Он оптимизирован для решения типичных проблем безопасности. OpenID Connect — это протокол и стандарт аутентификации, он не дает доступ к ресурсам (Web API),…

    Читать далее »
  • ХабрахабрФото [Перевод] LDAP-«аутентификация» — это антипаттерн

    [Перевод] LDAP-«аутентификация» — это антипаттерн

    Если присмотреться, вы найдете одно или несколько приложений, которые используют этот же каталог для «аутентификации». Сегодня в любой организации есть LDAP-каталог, наполненный пользователями этой организации. Это не протокол аутентификации. И кавычки здесь неспроста, ведь LDAP — это протокол доступа к каталогам, спроектированный для чтения, записи и поиска в службе каталогов. Широко распространенные и доступные службы LDAP, такие, как Active Directory,…

    Читать далее »
  • ХабрахабрФото Никто (почти) не знает, что такое авторизация

    Никто (почти) не знает, что такое авторизация

    За время работы архитектором в проектах внедрения IdM я проанализировал десятки реализаций механизмов авторизации как во внутренних решениях компаний, так и в коммерческих продуктах, и могу утверждать, что практически везде при наличии относительно сложных требований они сделаны не правильно или, как минимум, не оптимально. Причиной, на мой взгляд, является низкое внимание и заказчика и разработчиков к данному аспекту на начальных…

    Читать далее »
  • СофтФото [Перевод] Как использовать MySQL без пароля (и рисков для безопасности)

    [Перевод] Как использовать MySQL без пароля (и рисков для безопасности)

    В случае с MySQL это реально благодаря плагину auth_socket и его версии для MariaDB — unix_socket. Говорят, что лучший пароль — тот, который не надо запоминать. 7, используя плагин auth_socket. Оба эти плагина — вовсе не новы, о них много говорилось в этом же блоге, например в статье о том, как изменять пароли в MySQL 5. 4, я обнаружил, что…

    Читать далее »
  • ХабрахабрФото FIDO2 — Пароли must die

    FIDO2 — Пароли must die

    Думаю, все вы неоднократно слышали о том что «пароли мертвы», «пароли вымирают», «новая технология убьет пароли» и тому подобное. Мы в FIDO Alliance как раз-таки пришли сообщить вам о том, что пароли все-таки вымрут… в аутентификации.Прежде чем мы начнем разговор о массовом уничтожении многословных гадов, давайте вернемся к нашему самому популярному протоколу FIDO U2F о коем я писал ранее. То…

    Читать далее »


Кнопка «Наверх»