OAuth: як працює безпечна авторизація без передачі пароля

Ви бачили це десятки разів: «Увійти через Google», «Продовжити через Facebook» або «Увійти через Apple». Цей зручний клік на кнопці — OAuth у дії. Але що насправді відбувається за лаштунками — і чому це важливо для вашої конфіденційності та безпеки?

Що таке OAuth

OAuth розшифровується як Open Authorization. Це відкритий стандартний протокол — тобто будь-хто може його реалізувати — який відповідає за авторизацію (що вам дозволено робити), а не за автентифікацію (підтвердження вашої особи). Поточна версія, OAuth 2.0, використовується практично кожною великою платформою в інтернеті.

Простими словами, OAuth дозволяє вам надати одному застосунку дозвіл на доступ до певних даних або функцій іншого застосунку — без передачі пароля. Ви контролюєте, що саме передається, а сторонній застосунок ніколи не бачить ваших облікових даних.

Як працює OAuth

Ось спрощений опис того, що відбувається, коли ви натискаєте «Увійти через Google» у сторонньому застосунку:

  1. Ви запитуєте доступ. Ви натискаєте кнопку входу, і застосунок перенаправляє вас на сторінку входу Google.
  2. Ви автентифікуєтеся безпосередньо. Ви вводите свої облікові дані Google на власних серверах Google — сторонній застосунок нічого не бачить.
  3. Ви надаєте дозвіл. Google запитує, чи хочете ви дозволити застосунку доступ до певних даних (наприклад, вашого імені та електронної пошти). Ви підтверджуєте.
  4. Видається токен. Google надсилає застосунку короткочасний токен доступу — рядок символів, що діє як тимчасовий ключ. Цей токен має визначену область дії (до чого він може отримати доступ) і термін дії.
  5. Застосунок використовує токен. Застосунок пред'являє цей токен, коли потрібно отримати ваші дані. Ваш реальний пароль йому не потрібен.

Якщо ви пізніше відкличете доступ, токен стане недійсним. Сторонній застосунок негайно втратить свої права — без необхідності змінювати пароль.

Чому OAuth важливий для безпеки

Основна перевага OAuth з погляду безпеки — ізоляція облікових даних. Якщо сторонній застосунок зазнає витоку даних, зловмисники в найгіршому випадку отримають прострочений токен доступу — але не ваш реальний пароль від Google або Apple. Ваш основний обліковий запис залишається захищеним.

OAuth також обмежує область доступу. Застосунок може запросити лише дозвіл на читання вашої електронної адреси, але не на надсилання листів від вашого імені. Ця деталізована модель дозволів є суттєвим рівнем захисту порівняно з наданням повного доступу до облікового запису.

OAuth і користувачі VPN

Якщо ви використовуєте VPN, OAuth перетинається з вашою конфіденційністю в кількох важливих аспектах.

Ризики перехоплення токенів. У незахищених мережах зловмисники можуть здійснювати атаки типу «людина посередині» для перехоплення токенів OAuth під час процесу перенаправлення. VPN шифрує ваш трафік, значно знижуючи цей ризик — особливо у публічних мережах Wi-Fi в аеропортах, готелях або кафе.

OAuth через HTTPS. OAuth 2.0 вимагає HTTPS для безпечної роботи. VPN додає додатковий рівень шифрування, але не замінює HTTPS. Разом вони забезпечують надійніший захист.

Конфіденційність при пов'язуванні облікових записів. Коли ви використовуєте «Увійти через Google» або подібне, Google знає, до яких сервісів ви звертаєтеся і коли. VPN приховує вашу IP-адресу під час цього процесу, однак постачальник ідентифікації (Google, Apple тощо) все одно фіксує подію авторизації. Користувачі з жорсткими вимогами до конфіденційності повинні враховувати цей компроміс.

Корпоративні середовища з VPN. Багато компаній поєднують доступ через VPN із системами єдиного входу (SSO) на основі OAuth. Співробітники одноразово проходять автентифікацію через постачальника ідентифікації — часто за допомогою OAuth або пов'язаного протоколу OpenID Connect — і отримують доступ до внутрішніх ресурсів, захищених VPN.

Практичні сценарії використання

  • Інтеграція застосунків: надання інструменту керування проєктами дозволу публікувати оновлення у вашому робочому просторі Slack.
  • Соціальний вхід: вхід у Spotify за допомогою облікового запису Facebook.
  • Доступ до API: надання застосунку для бюджетування доступу лише для читання до ваших банківських транзакцій.
  • Інструменти розробника: авторизація сервісу розгортання коду для надсилання оновлень до ваших репозиторіїв на GitHub.

OAuth проти паролів: загальна картина

OAuth не замінює паролі — він скорочує кількість випадків, коли вам потрібно використовувати їх зі сторонніми сервісами. У поєднанні з надійними паролями, двофакторною автентифікацією та надійним VPN, OAuth є одним із елементів багаторівневого підходу до безпеки, який суттєво зменшує вашу вразливість в інтернеті.