OAuth: Perbedaan antara revisi
Konten dihapus Konten ditambahkan
Tidak ada ringkasan suntingan Tag: VisualEditor Suntingan perangkat seluler Suntingan peramban seluler |
Fitur saranan suntingan: 2 pranala ditambahkan. Tag: VisualEditor Suntingan perangkat seluler Suntingan peramban seluler Tugas pengguna baru Disarankan: tambahkan pranala |
||
| (4 revisi perantara oleh 4 pengguna tidak ditampilkan) | |||
Baris 1:
[[Berkas:Oauth logo.svg|jmpl|Logo OAuth]]
'''OAuth''' (kependekan dari "'''Open Authorization'''"<ref name="NIST">{{cite web|title=Open Authorization - Glossary {{!}} CSRC|url=https://csrc.nist.gov/glossary/term/open_authorization|website=csrc.nist.gov}}</ref><ref name="RFC6749">{{Cite journal|last=Hardt|first=Dick|date=October 2012|title=RFC6749 - The OAuth 2.0 Authorization Framework|url=https://tools.ietf.org/html/rfc6749|publisher=[[Internet Engineering Task Force]]|doi=10.17487/RFC6749|archive-url=https://web.archive.org/web/20121015184712/http://tools.ietf.org/html/rfc6749|archive-date=15 October 2012|access-date=10 October 2012|editor-first1=D|editor-last1=Hardt|url-status=live}}</ref>) adalah suatu [[protokol]] terbuka yang memungkinkan pengguna untuk berbagi sumber pribadi mereka (mis. [[foto]], [[video]], daftar alamat) yang disimpan di suatu [[situs web]] dengan situs lain tanpa perlu menyerahkan nama pengguna dan [[kata sandi]] mereka. Proses ini dilakukan dengan memberikan token, bukan nama pengguna dan kata sandi, untuk data mereka yang diinangi oleh suatu penyedia jasa tertentu. Setiap token memberikan akses untuk suatu situs spesifik (mis. suatu situs penyunting video) terhadap suatu sumber spesifik (mis. hanya video dari album tertentu) selama durasi tertentu (mis. dua jam ke depan).
OAuth mengizinkan seorang mengguna untuk memberikan akses kepada situs pihak ketiga untuk mengakses informasi mereka yang disimpan di penyedia layanan lain tanpa harus membagi izin akses atau keseluruhan data mereka. Cara kerjanya kurang lebih mirip dengan menggunakan [[kartu kredit]] dan menandatangani slip transaksi, alih-alih memberikan kartu ATM dan PIN-nya.
== Masalah keamanan ==
=== OAuth 1.0 ===
Pada 23 April 2009, sebuah kelemahan keamanan fiksasi sesi dalam protokol 1.0 diumumkan. Itu mempengaruhi arus otorisasi OAuth (juga dikenal sebagai "3-legged OAuth") indi OAuth Core 1.0 Bagian 6.<ref>{{Cite web|date=23 April 2009|title=OAuth Security Advisory: 2009.1|url=http://oauth.net/advisories/2009-1|website=oauth.net|archive-url=https://web.archive.org/web/20160527002938/http://oauth.net/advisories/2009-1/|archive-date=27 May 2016|access-date=23 April 2009|url-status=live}}</ref> Version 1.0a dari protokol OAuth Core dikeluarkan untuk mengatasi masalah ini.<ref>{{Cite web|title=OAuth Core 1.0a|url=http://oauth.net/core/1.0a|website=oauth.net|archive-url=https://web.archive.org/web/20090630092220/http://oauth.net/core/1.0a|archive-date=30 June 2009|access-date=17 July 2009|url-status=live}}</ref>
=== OAuth 2.0 ===
Pada Januari 2013, Internet Engineering Task Force mempublikasikan sebuah model ancaman untuk OAuth 2.0.<ref name="RFC6819">{{Cite journal|last1=Lodderstedt|first1=Torsten|last2=McGloin|first2=Mark|last3=Hunt|first3=Phil|date=January 2013|title=RFC6819 - OAuth 2.0 Threat Model and Security Considerations|url=https://tools.ietf.org/html/rfc6819.html|language=en|doi=10.17487/RFC6819|archive-url=https://web.archive.org/web/20200630000422/https://tools.ietf.org/html/rfc6819|archive-date=30 June 2020|access-date=29 June 2020|editor-first1=T|editor-last1=Lodderstedt|url-status=live|website=[[Internet Engineering Task Force]]|doi-access=free}}[rfc:6819 OAuth 2.0 Threat Model and Security Considerations]. Internet Engineering Task Force. Accessed January 2015.</ref> Di antara ancaman yang diuraikan ada satu yang disebut "Open Redirector"; pada awal tahun 2014, variannya dijelaskan dengan nama "Covert Redirect" oleh Wang Jing.<ref name="OAuth_Covert_Redirect">{{Cite web|date=4 May 2014|title=OAuth Security Advisory: 2014.1 "Covert Redirect"|url=http://oauth.net/advisories/2014-1-covert-redirect/|website=oauth.net|archive-url=https://web.archive.org/web/20151121111134/http://oauth.net/advisories/2014-1-covert-redirect/|archive-date=21 November 2015|access-date=10 November 2014|url-status=live}}</ref><ref name="CNET">{{Cite web|date=2 May 2014|title=Serious security flaw in OAuth, OpenID discovered|url=http://www.cnet.com/news/serious-security-flaw-in-oauth-and-openid-discovered/|website=[[CNET]]|archive-url=https://web.archive.org/web/20151102002904/http://www.cnet.com/news/serious-security-flaw-in-oauth-and-openid-discovered/|archive-date=2 November 2015|access-date=10 November 2014|url-status=live}}</ref><ref name="PhysOrg">{{Cite web|date=3 May 2014|title=Math student detects OAuth, OpenID security vulnerability|url=http://phys.org/news/2014-05-math-student-oauth-openid-vulnerability.html|publisher=Phys.org|archive-url=https://web.archive.org/web/20151106024436/http://phys.org/news/2014-05-math-student-oauth-openid-vulnerability.html|archive-date=6 November 2015|access-date=11 November 2014|url-status=live}}</ref><ref name="Covert_Redirect">{{Cite web|date=1 May 2014|title=Covert Redirect|url=http://tetraph.com/covert_redirect/|publisher=Tetraph|archive-url=https://web.archive.org/web/20160310005903/http://tetraph.com/covert_redirect/|archive-date=10 March 2016|access-date=10 November 2014|url-status=live}}</ref>
Dalam draf OAuth 2.1, penggunaan ekstensi PKCE untuk aplikasi asli telah direkomendasikan untuk semua jenis klien OAuth, termasuk [[aplikasi web]] dan klien rahasia lainnya untuk menghindari ekstensi browser berbahaya yang melakukan serangan injeksi kode OAuth 2.0.<ref name=":0" />
== Penggunaan ==
[[Facebook Platform# Graph API|Graph API]] [[Facebook]] hanya mendukung OAuth 2.0.<ref>{{Cite web|title=Authentication - Facebook Developers|url=https://developers.facebook.com/docs/authentication/|website=Facebook for Developers|archive-url=https://web.archive.org/web/20140123045312/https://developers.facebook.com/docs/authentication/|archive-date=23 January 2014|access-date=5 January 2020|url-status=live}}</ref> [[Google]] mendukung OAuth 2.0 sebagai mekanisme otorisasi yang direkomendasikan untuk semua [[Application Programming Interface|API]]<nowiki/>nya.<ref>{{Cite web|title=Using OAuth 2.0 to Access Google APIs | Google Identity Platform|url=https://developers.google.com/identity/protocols/OAuth2|website=Google Developers|archive-url=https://web.archive.org/web/20200104215722/https://developers.google.com/identity/protocols/OAuth2|archive-date=4 January 2020|access-date=4 January 2020|url-status=live}}</ref> [[Microsoft]] juga mendukung OAuth 2.0 untuk berbagai API dan layanan Azure Active Directory-nya,<ref>{{Cite web|title=v2.0 Protocols - OAuth 2.0 Authorization Code Flow|url=https://docs.microsoft.com/en-us/azure/active-directory/active-directory-v2-protocols-oauth-code|website=Microsoft Docs|archive-url=https://web.archive.org/web/20200629235721/https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-oauth2-auth-code-flow|archive-date=29 June 2020|access-date=29 June 2020|url-status=live}}</ref> yang digunakan untuk mengamankan banyak API Microsoft dan pihak ketiga.
OAuth dapat juga digunakan sebagai mekanisme otorisasi untuk mengakses umpan [[RSS]]/[[Atom (standar)|Atom]] yang aman. Akses menuju umpan RSS/ATOM yang memerlukan autentikasi selalu menjadi masalah. Sebagai contoh, sebuah umpan RSS dari sebuah [[Google Sites|Google Site]] yang aman tidak dapat diakses menggunakan [[Google Reader]]. Sebaliknya, OAuth berlapis tiga akan digunakan untuk mengotorisasi klien RSS tersebut untuk mengakses umpan dari Situs Google.
== Referensi ==
{{reflist|colwidth=30em}}
== Pranala luar ==
*
* [https://oauth.net oauth.net]
* {{en}} OAuth WG di IETF
* {{en}}
* {{en}} Yahoo! OAuth Quick Start Guide
[[Kategori:Protokol Internet]]
[[Kategori:Standar awan]]
[[Kategori:Kontrol akses komputer]]
| |||