Advania logo
    Kontakta oss
    Gå tillbaka

    OAuth / OpenID Connect

    Vad är OAuth och OpenID Connect?

    OAuth 2.0 och OpenID Connect (OIDC) är två relaterade men distinkta standardprotokoll som spelar en central roll i modern webb- och applikationssäkerhet.

    • OAuth 2.0 (Open Authorization): Är ett ramverk för auktorisering. Det tillåter en tredjepartsapplikation (klient) att få begränsad åtkomst till en användares resurser på en annan tjänst (resursserver, t.ex. Google Drive, Facebook-foton) utan att klienten behöver hantera användarens lösenord direkt. Användaren godkänner åtkomsten.
    • OpenID Connect (OIDC): Är ett identitetslager byggt ovanpå OAuth 2.0. Det fokuserar på autentisering – att verifiera en användares identitet. OIDC tillåter klientapplikationer att få information om den inloggade användaren (t.ex. namn, e-post) från en identitetsleverantör (Identity Provider, IdP).

    Hur OAuth och OpenID Connect säkrar åtkomst

    Dessa protokoll möjliggör säkrare och mer användarvänliga interaktioner:

    • Delegerad åtkomst (OAuth 2.0): Användare kan ge specifika tillstånd (scopes) till appar (t.ex. "läs mina kontakter" men inte "radera mina kontakter") utan att dela sitt huvudlösenord. Åtkomsten sker via access tokens med begränsad livslängd.
    • Standardiserad identitetsverifiering (OIDC): Ger ett standardiserat sätt för appar att verifiera användaridentitet och få grundläggande profilinformation, vilket underlättar "Logga in med [Google/Facebook/etc.]"-funktionalitet.
    • Minskad risk för lösenordsläckor: Applikationer behöver inte lagra användarnas lösenord till externa tjänster.
    • Single Sign-On (SSO) möjligheter: OIDC kan användas för att implementera SSO, där en användare loggar in en gång hos en identitetsleverantör och sedan får åtkomst till flera anslutna applikationer.

    Skillnaden mellan autentisering och auktorisering med OAuth/OIDC

    Det är viktigt att skilja på dessa två begrepp:

    1. Autentisering (Vem är du?): Processen att verifiera en användares identitet. OpenID Connect hanterar detta.
    2. Auktorisering (Vad får du göra?): Processen att bestämma vilka resurser och åtgärder en autentiserad användare har tillåtelse att komma åt. OAuth 2.0 hanterar detta.

    OIDC använder OAuth 2.0 för sina auktoriseringsflöden men lägger till ett ID-token som innehåller information om den autentiserade användaren.

    Användningen av OAuth/OIDC i moderna applikationer

    Dessa protokoll är allestädes närvarande i dagens digitala landskap:

    • Sociala Inloggningar: När du loggar in på en webbplats med ditt Google-, Facebook- eller Apple-konto.
    • API-säkerhet: Skydda åtkomst till API:er så att endast auktoriserade klientapplikationer kan använda dem.
    • Mobilapplikationer: Tillåta mobilappar att komma åt användardata från molntjänster på ett säkert sätt.
    • Företagsapplikationer: Hantera åtkomst till interna system och tjänster.

    OAuth/OpenID Connect: Standarder för säker inloggning och API-åtkomst

    Genom att tillhandahålla robusta och standardiserade ramverk för auktorisering och autentisering har OAuth 2.0 och OpenID Connect blivit grundläggande byggstenar för att skapa säkra och användarvänliga digitala tjänster. De minskar komplexiteten för utvecklare och ökar säkerheten för användarna.

    Vanliga frågor om OAuth och OpenID Connect

    Om jag använder "Logga in med Google", använder jag OAuth 2.0 eller OpenID Connect?

    Du använder båda. Processen där du ger en tredjepartsapplikation tillåtelse att komma åt viss information från ditt Google-konto (t.ex. din e-postadress) hanteras av *OAuth 2.0*. Det är auktorisationsdelen. Processen där Google sedan bekräftar din identitet för applikationen och skickar med information om dig (som ditt namn och profilbild) i ett standardiserat format (en ID Token) är *OpenID Connect*. OpenID Connect är alltså ett identitetslager som ligger ovanpå OAuth 2.0.

    Vad är en "scope" i OAuth 2.0?

    En "scope" definierar exakt vilken typ av åtkomst en applikation begär. När du ser en dialogruta som säger "Denna app vill kunna läsa dina kontakter och se din kalender", är "läsa kontakter" och "se kalender" två olika scopes. Detta ger användaren finkornig kontroll över exakt vilka behörigheter som beviljas, istället för att ge appen full tillgång till hela kontot.

    Är OAuth säkert?

    Ja, när det implementeras korrekt är OAuth 2.0 en säker och branschledande standard. Det är betydligt säkrare än att dela sitt lösenord direkt med en tredjepartsapplikation. Säkerheten bygger på att användarens lösenord aldrig exponeras för applikationen och att man kan återkalla enskilda applikationers åtkomst när som helst utan att behöva byta sitt huvudlösenord.

    Andra relevanta ord i samma kategori