دنیای دیجیتال امروز، تلفیقی از سادگی و امنیت است. کاربران انتظار دارند به‌راحتی از سرویس‌های متنوع استفاده کنند و در عین حال، کنترل کاملی بر داده‌هایشان داشته باشند. از سوی دیگر، توسعه‌دهندگان نیز به دنبال راهکاری استاندارد، امن و قابل‌اعتماد هستند تا بتوانند دسترسی به منابع را مدیریت کنند، بدون آن‌که نیاز به نگهداری از اطلاعات حساس کاربران باشد. در این میان، استفاده از وب‌سرویس احراز هویت نقش مهمی در اطمینان از درستی هویت کاربران و مدیریت امن دسترسی‌ها ایفا می‌کند.

در چنین بستری، OAuth 2.0 به‌عنوان یکی از پرکاربردترین و موفق‌ترین چارچوب‌های مجوزدهی در وب  (Authorization)، پاسخی عملی به این نیاز ارائه می‌دهد. در ادامه، به تعریف این پروتکل کاربردی می‌پردازیم و نقش OAuth 2.0 در امنیت APIها را بررسی می‌کنیم. 

OAuth 2.0 چیست؟

عبارت OAuth 2.0 که از ترکیب Open Authorization تشکیل شده، یک چارچوب استاندارد و متن‌باز برای اعطای دسترسی امن به منابع کاربران است. به‌طور خلاصه، چارچوب OAuth 2.0 این امکان را فراهم می‌کند که یک اپلیکیشن به نمایندگی از کاربر و بدون نیاز به اشتراک‌گذاری رمز عبور و نام کاربری، به بخش‌های مشخصی از داده‌ها یا سرویس‌ها دسترسی پیدا کند. این دسترسی به‌صورت «واگذار شده» (Delegated access) و از طریق توکن اعطا می‌شود. در این فرایند، هویت کاربر توسط سرویس اصلی احراز می‌شود و برنامه ثالث تنها یک مجوز محدود برای استفاده دریافت می‌کند. 

بیشتر بخوانید: وب سرویس چیست؟ و چگونه به کمک برنامه‌نویس‌ها می‌آید؟

اگر به مشکلات روش‌های قدیمی دسترسی نگاهی بیندازیم، به اهمیت OAuth 2.0 بهتر پی می‌بریم. پیش از روی کار آمدن این چارچوب، کاربران مجبور بودند اطلاعات ورودی خود را به طور کامل در اختیار اپلیکیشن‌ها و وب‌سایت‌ها قرار دهد و در غیر این صورت، امکان دسترسی به سرویس‌های مورد نظر خود را نداشتند. این روش نه‌تنها امنیت داده‌های کاربران را به‌شدت تهدید می‌کرد، بلکه عملاً هرگونه کنترل دقیق بر سطح دسترسی‌ها را نیز از بین می‌برد. این همان چالشی بود که OAuth 2.0 با معرفی «توکن دسترسی» (Access Token) و «Scope»، موفق شد آن را مرتفع کند و از این طریق، به استانداردی جدید در وب‌سرویس‌ها، خصوصاً سرویس‌های ابری و APIها تبدیل شود.

با فراگیری OAuth 2.0 در سرویس‌های مختلف، کاربر می‌تواند مشخص کند که کدام داده‌ها، برای چه مدتی و با چه سطحی از دسترسی در اختیار یک برنامه قرار بگیرد و در زمان دلخواه نیز این مجوز را لغو کند. این چارچوب که دومین نسخه از ساختار OAuth به‌حساب می‌آید، توسط گروه IETF توسعه پیدا کرد و موفق شد نسبت نسخه اول، انعطاف‌پذیری، سادگی و کارآمدی بیشتری را در اختیار کاربران قرار دهد. در نگاه اول، OAuth و OAuth 2.0 ممکن است بسیار شبیه به هم به نظر برسند، اما تفاوت OAuth و OAuth 2.0 در بازطراحی اساسی نسخه اول این استاندارد است. در کنار دیگر ویژگی‌های اضافه شده، نسخه دوم این پروتکل از جریان‌های مختلف احراز مجوز (Grant Types) پشتیبانی می‌کند تا نیازهای وب‌اپلیکیشن‌ها، موبایل، دسکتاپ و حتی دستگاه‌های IoT را پوشش دهد. 

اجزای اصلی در OAuth 2.0 کدام‌اند؟ 

برای درک بهتر نحوه‌ عملکرد OAuth 2.0، پیش از هر چیز باید با اجزای اصلی این استاندارد آشنا شویم. OAuth 2.0 بر پایه تفکیک نقش‌ها طراحی شده تا دسترسی به داده‌های حساس کاربران، بدون اشتراک‌گذاری نام کاربری و رمز عبور امکان‌پذیر شود. در ادامه، چهار مؤلفه اصلی در جریان OAuth 2.0 را بررسی می‌کنیم.

1. مالک منابع (Resource Owner)

منظور از مالک منابع در پروتکل OAuth 2.0، معمولاً همان کاربر نهایی است که داده‌های محافظت‌شده (مانند اطلاعات حساب کاربری، عکس‌ها، لیست مخاطبین) را در اختیار دارد. این کاربر نهایی است که تصمیم می‌گیرد دسترسی به داده‌های تحت مالکیتش مجاز است یا خیر. به‌طور مثال، وقتی شما اجازه می‌دهید یک اپلیکیشن شخص ثالث به‌حساب گوگل یا اینستاگرام‌تان دسترسی داشته باشد، در واقع نقش مالک منابع را بر عهده دارید. 

2. کلاینت 

کلاینت در واقع همان اپلیکیشن، وب‌سایت، نرم‌افزار یا سرویس شخص ثالثی است که قصد دارد به داده کاربران دسترسی پیدا کند. کلاینت به‌تنهایی اجازه‌ دسترسی به منابع را ندارد و تنها زمانی می‌تواند درخواست ارسال کند که کاربر نهایی (مالک منابع) به طور رسمی این دسترسی را تأیید کند. پس از این تأیید، کلاینت یک توکن دسترسی دریافت می‌کند که و از این طریق، مجوز استفاده از داده‌ها را در یک محدوده مشخص (Scope) به دست می‌آورد. 

3.سرور مجوزدهی (Authorization Server)

تا به اینجا، کاربر نهایی را داریم که منابعی را در اختیار دارد و کلاینتی که قصد دارد به این منابع دسترسی داشته. حال این وظیفه «سرور مجوزدهی» (Authorization Server) است که نقش واسط را ایفا کند و پس از احراز هویت کاربر و بررسی رضایت او، توکن دسترسی را در اختیار کلاینت قرار دهد. به بیان ساده، این سرور تضمین می‌کند: 

• کاربر واقعاً همان کسی است که ادعا می‌کند
• سطح دسترسی درخواستی با رضایت کاربر هم‌خوانی دارد 

4. سرور منبع (Resource Server)

پیش از این گفتیم که کاربر منابعی را در اختیار دارد و در صورت تمایل، امکان دسترسی به این منابع را به کلاینت دلخواه خود اعطا می‌کند. سرور منبع، همان فضایی است که منابع محافظت شده (Protected Resources) کاربر در آن نگهداری می‌شود و در اصل، وظیفه تأمین امنیت داده‌ها را برعهده دارد. این سرور به طور مستقیم در دسترس مالک منابع قرار ندارد و تنها درخواست‌هایی را می‌پذیرد که با یک توکن دسترسی معتبر همراه باشد.  

بیشتر بخوانید: APIهای احراز هویت چگونه کار می‌کنند و چه مزایایی دارند؟

این چهار مؤلفه، چارچوب اصلی (Framework) پروتکل OAuth 2.0 را تشکیل می‌دهند و در کنار یکدیگر، مکانیزمی امن و انعطاف‌پذیر برای اعطای دسترسی به منابع ایجاد می‌کنند.

نگاهی به مزایای امنیتی استفاده از  OAuth 2.0

امنیت داده‌ها، موضوع غیرقابل چشم‌پوشی دنیای دیجیتال است. با گسترش اپلیکیشن‌های مبتنی بر وب، استفاده گسترده از APIها و افزایش تعامل میان سرویس‌های مختلف، نیاز به یک مکانیزم امن و استاندارد برای مدیریت دسترسی بیش از پیش احساس می‌شود. در این میان، OAuth 2.0  به‌عنوان یکی از مطمئن‌ترین و پرکاربردترین چارچوب‌های مجوزدهی، توانسته جایگاه خود را تثبیت کند و مزایای پرشماری را در اختیار کاربران و توسعه‌دهندگان قرار دهد. برخی از این مزایا عبارت‌اند از: 

· ساده‌سازی فرایند مجوزدهی بدون کاهش امنیت 

سادگی دسترسی به سرویس‌ها و حفظ امنیت، همیشه نسبتی عکس با یکدیگر داشته‌اند؛ اما OAuth 2.0 موفق شده این قاعده را برهم بزند و یک جریان مجوزدهی ساده و درعین حال امن را به وجود بیاورد. در این مدل، احراز دسترسی به منابع بر پایه‌ Access Token انجام می‌شود و دیگر نیازی به تبادل نام کاربری و رمز عبور میان سرویس‌ها وجود ندارد. این موضوع نه‌تنها فرایند پیاده‌سازی را برای توسعه‌دهندگان ساده‌تر می‌کند، بلکه سطح حمله (Attack Surface) را نیز به‌شدت کاهش می‌دهد. در پروژه‌های بزرگ و مقیاس‌پذیر، استفاده از توکن‌ها باعث می‌شود تا امکان مدیریت امن دسترسی‌ها بدون افت کیفیت امکان‌پذیر باشد. 

· پشتیبانی از انواع توکن و سیاست‌های امنیتی انعطاف‌پذیر 

یکی از ویژگی‌های قابل توجه OAuth 2.0، امکان استفاده از انواع مختلف توکن‌های دسترسی است. این قابلیت به سازمان‌ها اجازه می‌دهد متناسب با سناریوهای امنیتی خود، سیاست‌های متفاوتی را برای طول عمر توکن‌ها، سطح دسترسی و نحوه استفاده از آن‌ها تعریف کنند. برای مثال، می‌توان برای عملیات‌های حساس از توکن‌های موقت استفاده کرد و در مقابل، برای درخواست‌های کم‌ریسک‌تر، سیاست‌های منعطف‌تری در نظر گرفت.

· کنترل کامل کاربر بر داده‌های شخصی  

یکی از اصول بنیادین OAuth 2.0، بازگرداندن کنترل داده‌ها به کاربر بنا به درخواست اوست. مالک منابع می‌تواند مشخص کند که یک اپلیکیشن شخص ثالث به کدام منابع دسترسی داشته باشد و اعتبار زمانی توکن‌ها تا چه زمانی ادامه پیدا کند. علاوه بر این، کاربر می‌تواند در هر لحظه، دسترسی صادر شده را لغو کند و مانع از ادامه دسترسی اپلیکیشن به داده‌های خود شود. این قابلیت لغو دسترسی در هر زمان، به کاربر این اطمینان را می‌دهد که حتی پس از اعطای مجوز، همچنان اختیار و مالکیت داده‌هایش را در دست دارد. 

· استانداردسازی و پذیرش گسترده در صنعت 

پروتکل OAuth 2.0 از بدو عرضه تاکنون، با پذیرش گسترده از جانب شرکت‌های بزرگ فناوری و سرویس‌دهندگان مطرح روبه‌رو بوده است و همین باعث شده تا به یک استاندارد جهانی تبدیل شود. این استانداردسازی به معنای عبور از راهکارهای امنیتی اختصاصی است و یک راهکار قابل‌اطمینان را جایگزین شاخص‌های متعدد و پراکنده می‌کند. علاوه بر این، وجود کتابخانه‌ها، فریم‌ورک‌ها و ابزارهای متنوع برای زبان‌ها و پلتفرم‌های مختلف، احتمال آسیب‌پذیری‌های امنیتی و پیاده‌سازی اشتباه OAuth 2.0 را کاهش می‌دهد. 

· افزایش امنیت APIها و کنترل دسترسی دقیق

استاندارد OAuth 2.0 و APIها رابطه تنگاتنگی با یکدیگر دارند. امروزه بخش عمده‌ای از ارتباطات میان سیستم‌ها از طریق APIها انجام می‌شود و OAuth 2.0 یکی از رایج‌ترین روش‌ها برای افزایش امنیت APIها محسوب می‌شود. این استاندارد امکان تعریف سطح دسترسی دقیق (Fine-Grained Access Control) را فراهم می‌کند تا کلاینت فقط به منابعی که مجاز است دسترسی پیدا داشته باشد. 

این ویژگی‌های OAuth 2.0 به حفظ امنیت، رعایت الزامات قانونی و جلوگیری از دسترسی‌های غیرمجاز کمک شایانی می‌کند. 

جمع‌بندی 

در مجموع، پروتکل OAuth 2.0 بیش از آنکه یک چارچوب امنیتی باشد، نوعی بازتعریف مجوزدهی در فضای وب به‌حساب می‌آید. با این استاندارد، کاربر دیگر مجبور نیست برای دسترسی به سرویس مد نظر خود تمام داده‌های امنیتی‌اش را واگذار کند و در کنار آن، درگیر پیچیدگی‌های فنی برای محافظت از منابع خود نمی‌شود. با OAuth 2.0، دسترسی‌ها به‌صورت هدفمند، محدود و قابل‌کنترل تعریف می‌شوند و هر اپلیکیشن تنها در بازه‌های مجاز امکان استفاده از منابع را خواهد داشت.