Algolia

    Hva er en tilgangstype?

    OAuth 2.0-autorisasjonskontekst

    Innenfor rammeverket av OAuth 2.0-autorisasjon refererer begrepet "Grant Type" (tilgangstype) til metoden som en applikasjon anskaffer et tilgangstoken gjennom. I hovedsak spesifiserer tilgangstypen hvilken type autorisasjonsflyt applikasjonen vil bruke for å få tilgang til brukerdata.

    Forskjellige tilgangstyper i OAuth 2.0

    OAuth 2.0 definerer flere tilgangstyper, skreddersydd for distinkte applikasjonsscenarier:

    OAuth 2.0 med LoadFocus

    1. Authorization Code:
    • Best for: Applikasjoner som kan holde klienthemmeligheten trygg, ofte serverside-applikasjoner.
    • Flyt: Brukeren omdirigeres først til en autentiseringsserver. Ved vellykket autentisering omdirigeres de tilbake til applikasjonen med en autorisasjonskode. Applikasjonen bytter denne koden mot et tilgangstoken.
    1. Implicit:
    • Best for: Brukeragentsentrerte applikasjoner, som enkeltsideapplikasjoner.
    • Flyt: Speiler Authorization Code-flyten, men tilgangstokenet leveres direkte uten en mellomliggende kode. Den anses som mindre sikker enn Authorization Code-metoden.
    1. Password (Resource Owner Password Credentials):
    • Best for: Applikasjoner med høy tillit, ofte eid av samme organisasjon som ressursserveren.
    • Flyt: Brukere skriver inn brukernavn og passord direkte i applikasjonen. Applikasjonen bruker deretter disse legitimasjonene for å hente et tilgangstoken. Denne flyten frarådes generelt med mindre klienten har svært høy tillit.
    1. Client Credentials:
    • Best for: Tjenester eller applikasjoner som trenger tilgang til sine egne ressurser, ikke en brukers ressurser.
    • Flyt: Applikasjonen autentiserer seg med sine egne legitimasjoner (som klient-ID og hemmelighet) og får et tilgangstoken i retur.
    1. Device Code (for enheter uten omfattende nettleserfunksjonalitet):
    • Best for: Enheter som smart-TV-er, spillkonsoller eller skrivere.
    • Flyt: Enheten kommuniserer med autorisasjonsserveren for å innhente en enhetskode og brukerkode. Brukeren skriver inn brukerkoden på en annen enhet (f.eks. en smarttelefon). Etter verifisering mottar enheten et tilgangstoken.
    1. Refresh Token:
    • Bruk: Det er ikke en frittstående flyt, men komplementerer andre tilgangstyper. Når tilgangstokenet utløper, lar et oppdateringstoken applikasjonen hente et nytt uten at brukeren må logge inn igjen.

    Hvorfor er tilgangstyper viktige?

    Tilgangstyper gir fleksibilitet for varierende applikasjonskontekster. Hver enkelt sikrer at anskaffelse av tilgangstoken er så sikker som mulig, gitt applikasjonens begrensninger. Valget av tilgangstype påvirker interaksjonene mellom klient, bruker og autorisasjonsserver, noe som gjør riktig valg avgjørende for både brukervennlighet og sikkerhet.

    Forrige
    Hva er varighet i lasttesting
    Neste
    OAuth 2.0-autorisasjon