ГОЛОВНАБЛОГТехнічні статтіТокени аутентифікації

Токени аутентифікації

  • 06.07.2023
  • Опубліковано: Admin
Токени аутентифікації

У цій статті ми поговоримо про такий механізм безпеки, як токен аутентифікації, їх переваги та недоліки. Спочатку розберемо сам термін. 

Токен аутентифікації є механізмом безпеки, який використовується для підтвердження ідентичності користувача або програми під час доступу до ресурсів або послуг в комп’ютерних системах.

Типи  токенів

Токени аутентифікації є альтернативою традиційним методам аутентифікації, таким як паролі. Замість того, щоб вводити користувачу свій пароль кожного разу при доступі до системи, користувач отримує аутентифікаційний токен, який представляє його ідентичність. Токен може бути в формі символів, спеціального коду, електронного ключа або будь-якого іншого формату, який може бути переданий між сторонами.

Існує кілька типів токенів аутентифікації, які використовуються в різних контекстах та сценаріях:

  1. Токени на основі сесії (Session-based tokens): Цей тип токенів використовується для аутентифікації на веб-сайтах і веб-додатках. Після успішної аутентифікації, сервер створює унікальний ідентифікатор сесії, який зберігається в токені аутентифікації (зазвичай у вигляді кукі або заголовка запиту). Цей токен надсилається на сервер з кожним наступним запитом, щоб підтвердити ідентичність користувача. Сервер перевіряє та зберігає інформацію про активну сесію.
  2. Токени доступу (Access tokens): Цей тип токенів широко використовується в API і служить для аутентифікації та авторизації запитів. Після успішної аутентифікації, сервер видає токен доступу, який містить інформацію про ідентичність користувача або програми, а також список дозволених дій. Цей токен надсилається разом з кожним API-запитом для підтвердження ідентичності та отримання доступу до ресурсів.
  3. JSON Web Tokens (JWT): JWT є відкритим стандартом для створення токенів аутентифікації та передачі інформації між сторонами у безпечному форматі. JWT складається з трьох частин: заголовка, заяви та підпису. В заяві можна включити додаткові властивості, такі як ідентифікатор користувача, роль або термін дії токена. JWT часто використовується для аутентифікації та авторизації веб-додатків, мікро сервісів та систем однієї і тієї ж довіри.
  4. Токени на основі одноразових паролів (One-Time Password tokens): Цей тип токенів використовується для забезпечення додаткового рівня безпеки під час аутентифікації. Одноразовий пароль генерується на сервері або на пристрої користувача та надсилається йому для введення під час аутентифікації. Цей токен діє лише один раз та застосовується для запобігання повторного використання паролів.

Аутентифікація на основі токенів:

  1. Користувач надає свої облікові дані (наприклад, ім’я та пароль).
  2. Сервер видає токен доступу, який містить інформацію про ідентичність користувача та дозволи на доступ до ресурсів. Цей токен надсилається користувачу для подальшого використання.
  3. Користувач передає токен доступу на сервер з кожним запитом до захищених ресурсів або послуг. Це може відбуватись через заголовок запиту, параметр URL або в тілі запиту, залежно від використаного протоколу та АРІ.
  4. Сервер перевіряє та декодує токен доступу для перевірки його валідності, цілісності та авторизаційних даних. Якщо токен є дійсним та містить необхідні дозволи, сервер надає доступ користувачу до ресурсу або послуги, до якої генерувався запит.
  5. Токен доступу може мати обмежений термін дії. Після закінчення терміну дії токена користувач повинен повторно пройти аутентифікацію для отримання нового токена доступу.

Крім цих основних типів токенів, є також фізичні токени авторизації – це пристрої, які зазвичай мають форму картки, ключа або пластикового пристрою, та можуть бути активовані кнопкою або спеціальними сенсорами.

Переваги використання токенів авторизації:

  • Безпека

Токени авторизації можуть бути шифрованими та підписаними, що забезпечує безпеку при передачі даних. Це дозволяє запобігти підробці токенів та несанкціонованому доступу до ресурсів.

  • Безпарольна аутентифікація

Токени дозволяють уникнути потреби у введенні пароля кожного разу під час аутентифікації. Це зручно для користувачів, оскільки вони можуть отримати токен доступу після першої аутентифікації та використовувати його для подальшого доступу без повторного введення пароля.

  • Масштабованість

Токени дозволяють розподілити навантаження на сервер, оскільки перевірка токенів може здійснюватися безпосередньо на ресурсі або сервісі, що надає доступ. Це особливо важливо в розподілених системах або мікросервісній архітектурі.

  • Гнучкість

Токени надають можливість контролювати рівні доступу та дозволи користувачів до ресурсів. Вони можуть містити додаткові дані, такі як ідентифікатор користувача, роль, термін дії токену тощо, що дозволяє гнучкіше налаштувати систему авторизації.

Недоліки та основні вразливості:

  • Потенційна крадіжка токенів

Якщо токен доступу потрапить в несанкціоновані руки, зловмисники можуть мати доступ до ресурсів та інформації. Тому важливо добре захищати токени та використовувати надійні методи передачі токенів.

  • Управління токенами

При використанні токенів необхідно розробляти механізми управління їхнім життєвим циклом. Це включає виділення, оновлення та скасування токенів, а також перевірку їхньої валідності та контроль доступу.

  • Потенційне збільшення обсягу даних

Токени, особливо JWT, можуть містити багато додаткової інформації, що призводить до збільшення обсягу переданих даних. Це може вплинути на продуктивність мережі та швидкість передачі даних.

  • Залежність від сервера для перевірки токенів

Для перевірки токена доступу серверу необхідно звертатися до відповідного сервісу або бази даних. Це може створити додаткове навантаження на сервер та збільшити час відповіді.

  • XSS-атаки

Вразливості типу Cross-Site Scripting (XSS) можуть дозволити зловмисникам отримати доступ до токенів, які зберігаються на стороні клієнта, та використовувати їх для отримання доступу до ресурсів або здійснення несанкціонованих дій під ім'ям користувача.

  • CSRF-атаки

Вразливості типу Cross-Site Request Forgery (CSRF) можуть використовуватися для передачі недостовірних запитів зловмисником, який має доступ до токенів. Це може призвести до виконання несанкціонованих дій під ім'ям аутентифікованого користувача.

Обираючи метод авторизації на основі токенів, важливо ретельно проаналізувати контекст та вимоги проєкту, та врахувати описані переваги та недоліки цього методу.

Що робити якщо знайшли помилку на сайті?
Відкриті вакансії
Теги
QA поради новачкам QA термінологія Курс «Основи тестування ПЗ» Курс «Тестування: основи і практика» Лекція №1 курсів з тестування Лекція №2 курсів з тестування Лекція №3 курсів з тестування Лекція №4 курсів з тестування Лекція №5 курсів з тестування Лекція №6. Тестування: основи і практика Лекція №7. Тестування: основи і практика автоматизація тестування англійська мова баг баг-репорт гейм тестування глосарій матеріали лекцій метрики організаційні питання оцінювання ДЗ самонавчання тест-дизайн тест-кейс тестування мобайл
Подати заявку на курс українською Ваш перший крок в ІТ! Подати заявку на курс англійською
Вгору