Oauth 2.0 valtuutuskehys ja sen tietoturva

Ari-Pekka Koponen
Esitys versio 2.0

eSityksen KULKU



  1. Mikä on valtuutuskehys?

  2. Miten OAuth 2.0
    valtuutuskehys toimii?

  3. OAuth 2.0 valtuutuskehyksen
    tietoturva


    Mikä on

    valtuutuskehys?

    TILANNE NYT

    • Yhä suurempi osa datasta on tallennettuna erilaisiin verkkopalveluihin.

    • Tarve jakaa tietoja palveluiden ja sovellusten välillä.

    Valtuutus


    • Valtuuttamisen tarkoituksena on tarjota käyttäjälle mahdollisuus sallia kolmannen osapuolen sovellusten pääsy käyttäjän dataan.

    • OAuth 2.0 valtuutuskehys tarjoaa standardoidun mallin tietoturvalliselle valtuuttamiselle.

    • OAuth 2.0 käyttävät mm. Google, Microsoft ja Facebook.

    ESIMERKKI: FACEBOOK CONNECT

    • Facebook Connect on hyvä esimerkki OAuth 2.0 käytöstä:
      Sovellukselle sallitaan pääsy esimerkiksi käyttäjän sähköposti-osoitteeseen tai julkaisuihin.



    Miten OAuth 2.0 

    valtuutuskehys toimii?



    OAuth 2.0 valtuutuskehyksen 

    tietoturva

    MERKITTÄVIMMÄT UHAT



    1. Valtuuksien kaappaaminen
      ja väärinkäyttö.

    2. Cross-Site Request Forgery
      (CSRF) hyökkäykset.

    Uhkien torjuminen


    1. Liikenteen suojaaminen Transport Layer
      Securityn (TLS) avulla.

    2. Valtuuksia ei tule tallentaa evästeisiin.

    3. Valtuuden suojaaminen  käyttämällä digitaalista
      allekirjoitusta tai symmetrisellä salauksella
      tuotettua varmistetta.

    4. Valtuuksien keston ja laajuuden rajoittaminen.


    Kiitos!


    Kysyttävää?

    Made with Slides.com