راهنمای نهایی برای احراز هویت مبتنی بر توکن

موضوعات مدیریت هویت می توانند کمی انتزاعی یا در ابرها به معنای واقعی کلمه باشند. ممکن است قبلاً با احراز هویت که در وبلاگ قبلی توضیح دادم آشنا باشید. در هسته خود، احراز هویت روشی برای تأیید اینکه کاربر همان چیزی است که ادعا می کند است و برای دور نگه داشتن بازیگران بد از شبکه شما استفاده می شود. برخلاف رمزهای عبور، که به راحتی می توانند به خطر بیفتند و توسط هکرها برای نقض داده ها استفاده شوند، توکن ها امن تر هستند.

61 درصد از موارد نقض داده ها شامل استفاده از اعتبارنامه های غیرمجاز است.

گزارش تحقیقات نقض داده 2021، Verizon

برای یادگیری به ادامه مطلب بروید:

• چه نشانه ای است
• چرا باید از توکن ها استفاده کرد
• احراز هویت مبتنی بر توکن چیست و چگونه کار می کند
• مزایای احراز هویت مبتنی بر توکن
• انواع پروتکل های احراز هویت، از جمله موارد استفاده و محدودیت ها

توکن ها چیست؟

برای سهولت درک احراز هویت مبتنی بر توکن، اجازه دهید با چند نمونه از «توکن ها» شروع کنیم، که اساساً نسخه هایی از رمزهای عبور مخفی، ضربه ها یا عباراتی هستند که برای تأیید هویت استفاده می شوند.

یک شخصیت کارتونی در را می زند و یک پانل کشویی باز می شود که چهره ای ظاهر می شود و منتظر عبارت مخفی ("جو من را فرستاد") قبل از باز کردن در برای جلوگیری از موارد نامطلوب است. همچنین می تواند به جای یک عبارت مخفی، دنباله خاصی از ضربه ها (دو ضربه، مکث، سه ضربه) باشد.

یا شاید شما فیلم های جاسوسی را ترجیح می دهید، جایی که دو نفر هنگام ملاقات برای اولین بار در یک مکان عمومی به روشی نامحسوس برای تأیید هویت خود نیاز دارند. کد مخفی یک پیام مورد توافق است. جاسوسی که در یک نوار به دنبال مخاطب خود می گردد، نظری به ظاهر تصادفی می دهد، که مخاطب او با پاسخ صحیح پاسخ می دهد تا هویت او را تأیید کند. تنها در این صورت مکالمه یا انتقال اطلاعات محرمانه رخ می دهد.

با وجود کارتون ها و فیلم ها، توکن های اعتبار ابزار فوق العاده مفیدی هستند که تراکنش هایی را به صورت آنلاین انجام می دهیم تا هویت خود را در هنگام ورود، به روزرسانی، خرید و سایر فرآیندها اثبات کنیم. نکته مهم در مورد توکن های احراز هویت این است که ممکن است مانند تجربه ورود به سیستم، یکپارچه باشند، یا به اندازه ای از اعمال «اصطکاک» (ورودی اضافی یا دستی) همانطور که در وبلاگ های قبلی توضیح داده ام برای اطمینان از اینکه شما کسی هستید، یکپارچه باشند. شما می گویید که هستید و واقعاً می خواهید عمل خاصی را انجام دهید.

از آنجایی که توکن ها نباید حاوی اطلاعات شخصی کاربر باشند و الگوریتم/نرم افزار تولید شده اند، این داده ها را از هکرها ایمن تر نگه می دارند. این پیشرفت بزرگی نسبت به شرکت هایی است که از شماره امنیت اجتماعی افراد یا سایر اطلاعات شخصی/خصوصی به عنوان شماره حساب خود استفاده می کنند و سرقت هویت را برای بازیگران بد آسان تر می کند. یا کاربرانی که اطلاعات شخصی مانند نام حیوانات خانگی خود را در گذرواژه های خود گنجانده اند، که با جستجوی سریع در حساب های رسانه های اجتماعی کاربر به راحتی توسط بازیگران بد کشف می شوند.

احراز هویت مبتنی بر توکن چیست؟

احراز هویت مبتنی بر رمز را می توان به عنوان شروع مکالمه با شخصی به صورت آنلاین در نظر گرفت. به جای اینکه دو نفر با هم ارتباط برقرار کنند، تکه هایی از کد در پس زمینه با یکدیگر ارتباط برقرار می کنند و رمز عبور مخفی یا نمادهای مورد توافق را به اشتراک می گذارند تا رمزی تولید کنند که فرآیند احراز هویت را کامل می کند. تأیید هویت کاربر با یک توکن از دسترسی کاربران غیرمجاز به منابع شما جلوگیری می کند.

توکن ها را می توان در مراحل مختلف فرآیند احراز هویت، از جمله احراز هویت چند عاملی (MFA) و از طریق پروتکل هایی که در backend بین برنامه ها، APIها و/یا وب سایت ها کار می کنند، استفاده کرد.

چرا احراز هویت مبتنی بر توکن مهم است؟

از خود فناوری عقب نشینی کنید تا به مشکلی که می خواهید حل کنید نگاه کنید. برای اینکه بازیگران بد را از شبکه خود دور نگه دارید (جایی که می توانند داده ها را سرقت کنند، باج افزار نصب کنند، و غیره)، شما از کاربران قانونی می خواهید هویت خود را ثابت کنند. هنگامی که از توکنی استفاده می کنیم که از برنامه ای مانند PingID، یک جا کلیدی یا دانگلی که به رایانه خود وصل می کنیم، استفاده می کنیم، از دخالت عوامل خارجی جلوگیری می کنیم زیرا توکن بر اساس کلید خصوصی دستگاه است. اگر این کار را خیلی سخت کنید، آنها خدمات رقیب را نسبت به خدمات شما انتخاب می کنند. انتخاب یک راه حل احراز هویت مبتنی بر توکن که کاربران را بدون ایجاد اصطکاک یا ناامیدی تأیید می کند «چرا». فرآیندی که به آرامی اجرا می شود کاربران را راضی نگه می دارد و داده ها را ایمن نگه می دارد.

البته ، فناوری بی حوصله نیست. برنامه ریزی و اجرای ضعیف می تواند امور را بدتر کند ، همانطور که ما با شرکت هایی که از فناوری برای خودکارسازی و ساده سازی عملیات برای بهبود تجربه کاربر استفاده می کنند ، ضمن کاهش همزمان کارکنان استفاده می کنیم. انتظارات مشتری تنظیم شده است ، بنابراین وقتی تأیید اعتبار یا سایر سیستم های خودکار شکست می خورند ، مردم ناامید و عصبانی می شوند. تصور کنید یک هواپیمایی با یک سیستم خرابی که مانع از دسترسی مشتریان به حساب های خود به صورت آنلاین برای خرید بلیط ، چک یا کتاب مجدد می شود. مشتریان مجبور می شوند ساعت ها منتظر بمانند یا پس از لغو پرواز آنها در یک خط طولانی در فرودگاه بایستند. آیا آنها دوباره آن شرکت هواپیمایی را پرواز می کنند؟

این یک داستان را به من یادآوری می کند. مادرم برای بازدید از کشور در حال پرواز بود. من نام هواپیمایی را به همان اندازه وسوسه انگیز نمی نامم و شرمنده نمی کنم. در حالی که مادرم ادعا می کند که او یک فنی نیست ، او واقعاً چنین است. او 30 دقیقه در تلاش برای تأیید رزرو خود به صورت آنلاین صرف کرد ، اما نتوانست وارد سیستم شود. سرانجام مجبور شد تماس بگیرد و یک کارمند خوب به او کمک کرد. وقتی کارمند پرسید که آیا کار دیگری وجود دارد که بتواند انجام دهد ، مادرم از من پرسید که آیا 25 دلار اضافی برای کمک تلفنی حذف می شود یا خیر. کارمند گفت ، نه ، تا زمانی که مادرم به او یادآوری کرد که وب سایت هواپیمایی از تأیید آنلاین وی جلوگیری می کند. سرانجام کارمند موافقت کرد که هزینه را حذف کند. شرکت هایی که فناوری را به درستی مقیاس نمی کنند یا تجربه کاربر را درک نمی کنند ، تصمیم به ناامیدی و از دست دادن مشتری دارند.

این فیلم کوتاه را در مورد هویت مشتری تماشا کنید تا درک کنید که چرا تجربه کاربر بسیار مهم است.

این که آیا ما در مورد شرکت هواپیمایی ، بانک یا سایر خدمات صحبت می کنیم ، درک برنامه هایی که مشتریان و کارمندان شما در طول جلسه باید به آنها دسترسی پیدا کنند ، بخشی از روند نقشه برداری از نشانه های مورد نیاز است. برنامه های کاربردی (ابر یا محل) در کجا قرار دارند و چه کسی آنها (شرکت شما یا شریک زندگی شما) را دارد؟کاربرانی که مانده های بانکی خود را به صورت آنلاین بررسی می کنند ، نمی خواهند برای پرداخت صورتحساب و چک های سفارش خود ، از ورود به سیستم جداگانه استفاده کنند. هرچه تصویب احراز هویت قوی آسان تر باشد ، می توان از آن استفاده کرد.

مزایای احراز هویت مبتنی بر توکن چیست؟

احراز هویت مبتنی بر توکن ذاتاً ایمن تر از سایر اشکال احراز هویت ، به ویژه رمزهای عبور است. این همان چیزی است که همه آن را جوش می دهد.

• بدون تابعیت (خودمختار)
• کنترل دسترسی ریز دانه را فراهم می کند
• انعطاف پذیر - زمان انقضا (جلسه یا طولانی تر) ، قابل تعویض و قابل طراوت
• از هرجای دیگر تولید می شود
• روند احراز هویت را ساده تر می کند

احراز هویت مبتنی بر توکن چگونه کار می کند؟

برنامه ها دیگر لزوماً روی رایانه های ما زندگی نمی کنند، آنها در فضای ابری هستند. لپ تاپ شما می تواند با برنامه های ابری شرکت شما، برنامه های ابری شریک یا سایت های احتمالاً ناامن صحبت کند. روند رو به رشدی برای برقراری ارتباط با برنامه های کاربردی ابری از طریق رابط های برنامه نویسی برنامه (API) از جمله API های RESTful وجود دارد. این ارتباطات باید ایمن باشند تا از اطلاعات شخصی ما محافظت شود.

ابزارهای زیادی وجود دارد که می توانیم برای احراز هویت مبتنی بر توکن استفاده کنیم. بیایید با تعریف چندین پروتکل احراز هویت شروع کنیم.

مجوز باز (OAuth) از وب اجتماعی پدیدار شد تا به کاربران اجازه دهد بدون افشای اعتبار رسانه های اجتماعی، مجوزهای مجوز را مشخص کنند. OAuth استانداردی است که توضیح می دهد که چگونه یک برنامه کاربردی سمت سرویس گیرنده در وهله اول یک توکن دسترسی به دست می آورد. OAuth انواع بسیاری از کمک های مالی را برای تطبیق جریان های مختلف و تجربیات کاربر تعریف می کند.

زبان نشانه گذاری ادعای امنیتی (SAML) پدربزرگ و مادربزرگ پروتکل های احراز هویت است و هنوز هم ستون فقرات یک ورود به سیستم مبتنی بر وب (SSO) است. با در دسترس قرار دادن طیف وسیعی از منابع تنها با یک مجموعه از اعتبارنامه های ورود به سیستم، می توانید دسترسی یکپارچه به منابع را فراهم کنید و تکثیر رمز عبور ناامن را از بین ببرید. SAML در واقع روشی برای احراز هویت در سمت ارائه دهنده هویت مشخص نمی کند.

OpenID Connect (OIDC)، در حال حاضر در نسخه 2. 0، برای اتصال بین برنامه های مدرن موجود در وب و انواع مختلف برنامه هایی که از API های RESTful استفاده می کنند ایده آل است. همانطور که برنامه های کاربردی یک صفحه (SPA) محبوب تر می شوند، OIDC اهمیت بیشتری پیدا می کند.

احراز هویت Backchannel آغاز شده توسط مشتری (CIBA) یک برنامه افزودنی برای جریان OpenID Connect است. CIBA برنامه مشتری و سرور احراز هویت را بدون تغییر مسیر از طریق مرورگر کاربر جدا می کند.

JSON Web Token (JWT) یک استاندارد باز است که شامل اشیاء JSON کدگذاری شده است، از جمله مجموعه ای از ادعاها که پس از صدور توکن قابل تغییر نیستند. JWT اغلب برای API های وب، از جمله API های RESTful، برای احراز هویت کاربری که مایل به دسترسی به API است استفاده می شود.

شما باید به نیازها، موارد استفاده و چارچوب هویت خود نگاه کنید تا بهترین پروتکل را برای شرکت خود انتخاب کنید. برای مثال، بیایید SAML را با OIDC مقایسه کنیم.

• هر زمان که با یک برنامه تک صفحه (SPA) کار می کنید، SAML واقعاً از آن پشتیبانی نمی کند.
• برنامه های جدید تمایل دارند OIDC را با CIBA ترجیح دهند.
• احتمالاً مهمترین، SAML فقط برنامه وب است، OIDC را می توان با برنامه ها (بیشتر برنامه های تلفن همراه) استفاده کرد.

بهترین رمز احراز هویت برای استفاده چیست؟

انتخاب بهترین نشانه احراز هویت موقعیتی است. تصمیم گیری در مورد استفاده از OAuth، SAML، JWT یا نشانه تأیید دیگری باید بر اساس برنامه ها، نیازها و موارد استفاده شما باشد.

همکار من، لی بروئر، یک نمای کلی از استفاده از توکن در زیر ارائه کرده است. در حالی که همه چیز را شامل نمی شود، نقطه شروع خوبی برای بحث ها و تصمیم گیری ها در مورد انتخاب توکن تایید است.

احراز هویت مبتنی بر توکن برای APIهای وب چیست؟

احراز هویت مبتنی بر توکن برای API های وب، فرآیند احراز هویت کاربران یا فرآیندهای برنامه های کاربردی در فضای ابری است. برنامه کاربر درخواستی را به سرویس احراز هویت ارسال می کند که هویت کاربر را تأیید می کند و یک توکن صادر می کند. سپس کاربر می تواند به برنامه دسترسی پیدا کند.

احراز هویت مبتنی بر توکن برای API های REST چگونه کار می کند؟

استفاده از احراز هویت مبتنی بر رمز برای API های RESTful نسبت به API های وب سطح پایین تر آسان تر است. اغلب یک توکن استاندارد باز JWT، قالب شبیه یک آدرس وب با یک رشته طولانی از کاراکترها با یک فعل (به عنوان مثال، GET، PUT، یا POST) و یک نقطه پایانی است. اگر می خواهید کمی بیشتر در مورد نحوه عملکرد API های RESTful بدانید، ممکن است بخواهید این پیوند را بررسی کنید.

احراز هویت مبتنی بر توکن در احراز هویت چند عاملی (MFA) چیست؟

توکن های سخت و نرم در احراز هویت چندعاملی تحت فاکتور احراز هویت «چیزی که دارید» قرار می گیرند، که معمولاً پس از ترکیب نام کاربری و رمز عبور «چیزی که می دانید» برای تأیید هویت کاربر استفاده می شود.

توکن های سخت که به آنها توکن های متصل نیز گفته می شود، شامل کلیدها، دانگل ها و سایر دستگاه هایی هستند که به رایانه خود وصل می کنید. یک رمز عبور یا رمز عبور یکبار مصرف (OTP) برای احراز هویت کاربر با سرور احراز هویت ایجاد می شود. اگر می خواهیم امنیت بیشتری داشته باشیم، می توانیم یک کد پین را نیز اضافه کنیم. این ممکن است اصطکاک بیشتری ایجاد کند، اما با گنجاندن «چیزی که می دانید» به همراه دانگل «چیزی که دارید»، احراز هویت چند عاملی را درگیر می کند.

توکن های نرم که به آن توکن های قطع شده نیز گفته می شود، نرم افزاری هستند که از طریق دستگاه هایی مانند دستگاه های تلفن همراه در اختیار کاربر تولید می شوند. OTP ها می توانند برای احراز هویت کاربر استفاده شوند، مانند بیومتریک هایی مانند تاچ ID.

امیدوارم در این وبلاگ ، من توانسته ام شما را با این که چرا یک سازمان ممکن است بخواهد نشانه ها را به عنوان بخشی از اهداف تأیید اعتبار شما درج کند ، آشنا کنم. از جمله توکن های Auth امنیت قوی تری را برای این بخش از برنامه ریزی IAM شما فراهم می کند. برای برخی از خواندن های اضافی در این مورد ، لطفاً با راهنمای خریدار پینگ هویت در مورد احراز هویت چند عاملی مشورت کنید تا اطلاعات بیشتری در مورد چگونگی توکن ها می تواند بخشی از استراتژی تأیید هویت شما باشد.

سؤالات متداول برای احراز هویت مبتنی بر توکن

تفاوت بین کوکی ها و نشانه ها چیست؟

متخصصان هویت از کوکی ها دور می شوند ، زیرا آنها اغلب با تبلیغات همراه هستند و در مرورگر کاربر ذخیره می شوند. توکن ها همان اطلاعات را با روشی کمتر مزاحم ارائه می دهند.

آیا اشکالاتی در استفاده از احراز هویت مبتنی بر توکن وجود دارد؟

میزان پیچیدگی کمی افزایش یافته است ، اما در کل ، ارزش آن را دارد. کار باید توسط توسعه دهنده برنامه انجام شود ، اما برای کاربر شفاف است.

از کجا می توانم درباره JWTS اطلاعات بیشتری کسب کنم؟

نشانه های وب JSON به طور گسترده ای مورد استفاده قرار می گیرند ، اما همه نمی دانند چه کاری انجام می دهند. در اینجا درباره JWT ها بیشتر بدانید.

چه زمانی نشانه های احراز هویت منقضی می شوند؟

این بستگی به دامنه نشانه Auth و هدف پشت آن دارد. توکن ها را می توان پس از یک جلسه یا مدت زمان طولانی تر منقضی کرد ، یا می توان آنها را تازه یا رد و بدل کرد.