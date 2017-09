We lopen de stappen met je door en kijken naar de plus- en minpunten.

Een van de lastigste uitdagingen voor beveiligingsspecialisten sinds de opkomst van netwerken is om een soepele single sign-on (SSO) te maken zodat gebruikers met dezelfde inloggegevens meerdere computers en systemen kunnen gebruiken. Inmiddels loggen we bij meerdere sites in met één account en worden we in de back-end gekoppeld.

Zelfde account voor losse diensten

Dat is grotendeels te danken aan OAuth. Dat is een open standaard die beschrijft hoe losse servers en diensten authorisatie kunnen verlenen zonder daadwerkelijk gebruik te hoeven maken van de oorspronkelijke enkele SSO-credential. Gedelegeerde autorisatie via een beveiligde third-party noemen ze dat in de securitywereld.

In 2010 werd het als open standaard uitgebracht als RFC 5849 en werd vanaf het begin gesteund door Twitter, Google en andere bedrijven. Het werd snel groot en in de twee opvolgende jaren werd er flink aan gesleuteld. In 2012 verscheen OAuth 2.0. Hoewel het stevig werd bekritiseerd om meerdere redenen waar we in dit artikel ook verder op ingaan, werd OAuth 2.0 zeer populair. Je gebruikt het om in te loggen bij Facebook, Netflix, Paypal, Twitter, Microsoft, Instagram, LinkedIn en vele andere internetreuzen.

Toestemming via andere site

Het simpelste voorbeeld van OAuth is als je wilt inloggen bij een website en die site biedt één of meerdere opties om in te loggen met een account van een andere dienst als Facebook. Je klikt op die knop en Facebook handelt vervolgens de authenticatie af. De website die je eigenlijk bezoekt logt je in als hij toestemming heeft gekregen via het Facebook-proces.

Een ander veelvoorkomend OAuth-scenario is als een gebruiker bestanden uit een cloud verstuurt naar een andere via e-mail en de twee systemen zijn niet aan elkaar gerelateerd, bijvoorbeeld een bestand in Microsofts OneDrive dat je verstuurt via Google's Gmail. Als de eindgebruiker een bijlage koppelt, kan OAuth achter de schermen worden gebruikt om naadloos te authenticeren en door de beschermde bestanden te bladeren zonder dat een tweede inlog wordt vereist door het systeem waar de bestanden zijn opgeslagen.

Eén voor allen

In alle gevallen, OAuth wordt ook gebruikt om third-party afdrukdiensten te koppelen aan een andere webserver, gaat het erom dat twee of meer diensten worden gekoppeld door één handeling van de eindgebruiker. Die stellen het op prijs dat ze één keer inloggen en niet meerdere keren voor wat ze zien als één transactie. De client (bijvoorbeeld de browser), de te koppelen diensten en de authenticatieprovider moeten wel allemaal dezelfde versie van OAuth ondersteunen (1.0 of 2.0).

Hierna: We lopen het OAuth-transactieproces stap voor stap met je door.