Application Security

OAuth2 و OpenID Connect: پایه امنیتی وب مدرن

By admin · Mar 13, 2026 · 13 views 🤖 AI
apiauthenticationauthorizationsecurityOAuth2OpenID Connect

با افزایش پیچیدگی و مقیاس برنامه‌های وب، نیاز به سیستم‌های احراز هویت و مجوزدهی قوی بسیار مهم می‌شود. دو پروتکل به عنوان استاندارد طلایی برای امن کردن برنامه‌های وب مدرن ظاهر شده‌اند: OAuth2 و OpenID Connect. این پروتکل‌ها با هم کار می‌کنند تا راه‌حل‌های امنیتی جامعی فراهم کنند که هم داده‌های کاربر و هم منابع برنامه را محافظت می‌کنند.

درک OAuth2: چارچوب مجوزدهی

OAuth2 یک چارچوب مجوزدهی است که به برنامه‌ها اجازه می‌دهد به دسترسی محدودی از حساب‌های کاربران در یک سرویس HTTP دست یابند. این پروتکل به برنامه‌ها اجازه می‌دهد تا منابع را به نام کاربران دسترسی پیدا کنند بدون اینکه اعتبارنامه‌های آن‌ها را در معرض خطر قرار دهند.

مفهوم کلیدی این پروتکل بر اساس توکن‌های دسترسی است. به جای اشتراک‌گذاری رمز عبور، برنامه‌ها توکن‌های دسترسی را از یک سرور مجوزدهی درخواست می‌کنند که سپس می‌توانند برای دسترسی به منابع محافظت‌شده استفاده شوند.

// مثال جریان کد مجوز OAuth2
const oauth2Client = new OAuth2Client({
  clientId: 'your-client-id',
  clientSecret: 'your-client-secret',
  redirectUri: 'https://yourapp.com/callback'
});

// مرحله 1: هدایت کاربر به سرور مجوزدهی
const authUrl = oauth2Client.generateAuthUrl({
  scope: ['https://www.googleapis.com/auth/userinfo.email'],
  access_type: 'offline'
});

// مرحله 2: مدیریت بازگشت و مبادله کد با توکن‌ها
const tokenResponse = await oauth2Client.getToken(code);
const accessToken = tokenResponse.tokens.access_token;

OpenID Connect: پروتکل احراز هویت

OpenID Connect بر پایه OAuth2 ساخته شده و قابلیت‌های احراز هویت را فراهم می‌کند. در حالی که OAuth2 بر مجوزدهی تمرکز دارد، OpenID Connect امکان تأیید هویت کاربر و دریافت اطلاعات پروفایل پایه را اضافه می‌کند.

OpenID Connect با اضافه کردن یک توکن شناسایی (ID token) به جریان OAuth2 کار می‌کند. این توکن شناسایی شامل ادعاهایی درباره هویت کاربر است که امکان احراز هویت کاربران را فراهم می‌کند نه فقط مجوز دسترسی.

// مثال اجرای OpenID Connect
const oidcClient = new OpenIDConnectClient({
  issuer: 'https://accounts.google.com',
  clientId: 'your-client-id',
  clientSecret: 'your-client-secret',
  redirectUri: 'https://yourapp.com/callback'
});

// احراز هویت کاربر
const user = await oidcClient.authenticate({
  scope: ['openid', 'profile', 'email']
});

// دسترسی به اطلاعات کاربر
console.log(user.name);
console.log(user.email);
console.log(user.sub); // شناسه منحصر به فرد کاربر

جریان‌های کلیدی OAuth2

OAuth2 چندین جریان را برای تطبیق با انواع مختلف برنامه‌ها و نیازهای امنیتی تعریف کرده است:

جریان کد مجوز

امن‌ترین جریان، برای برنامه‌های وبی که می‌توانند رمزهای مخفی مشتری را محرمانه نگه دارند.

جریان ضمنی

برای برنامه‌های تک‌صفحه‌ای که رمزهای مخفی مشتری را نمی‌توان به صورت امن ذخیره کرد.

جریان اعتبارنامه مالک منبع

برای برنامه‌هایی که به شدت مورد اعتماد هستند و می‌توانند به صورت امن اعتبارنامه‌های کاربر را مدیریت کنند.

جریان اعتبارنامه مشتری

برای احراز هویت ماشین به ماشین که در آن خود برنامه مالک منبع است.

الگوهای اجرای عملی

برنامه‌های مدرن معمولاً از رویکردی ترکیبی از هر دو پروتکل استفاده می‌کنند. در اینجا یک مثال عملی از چگونگی یکپارچه‌سازی این پروتکل‌ها در یک برنامه Node.js آورده شده است:

// مثال اجرای Express.js
const express = require('express');
const { OAuth2Client } = require('google-auth-library');
const app = express();

// تنظیمات OAuth2 Google
const oauth2Client = new OAuth2Client({
  clientId: process.env.GOOGLE_CLIENT_ID,
  clientSecret: process.env.GOOGLE_CLIENT_SECRET,
  redirectUri: 'http://localhost:3000/auth/google/callback'
});

app.get('/auth/google', (req, res) => {
  const url = oauth2Client.generateAuthUrl({
    access_type: 'offline',
    scope: [
      'https://www.googleapis.com/auth/userinfo.email',
      'https://www.googleapis.com/auth/userinfo.profile'
    ]
  });
  res.redirect(url);
});

app.get('/auth/google/callback', async (req, res) => {
  const { code } = req.query;
  const tokenResponse = await oauth2Client.getToken(code);
  const userInfo = await oauth2Client.getTokenInfo(tokenResponse.tokens.access_token);
  
  // ذخیره توکن‌ها و ایجاد جلسه
  req.session.tokens = tokenResponse.tokens;
  req.session.user = userInfo;
  
  res.redirect('/dashboard');
});

ملاحظات امنیتی و بهترین روش‌ها

اجرای صحیح OAuth2 و OpenID Connect برای امنیت برنامه بسیار حیاتی است:

  • همیشه از HTTPS در محیط‌های تولید استفاده کنید
  • آدرس‌های بازگشتی را اعتبارسنجی کنید تا از ثغرهای هدایت باز جلوگیری کنید
  • مکانیزم‌های تازه‌سازی توکن را به درستی پیاده‌سازی کنید
  • توکن‌ها را به صورت امن ذخیره کنید، هرگز در ذخیره‌سازی سمت کلاینت نگذارید
  • از توکن‌های دسترسی کوتاه‌مدت با چرخه‌ی توکن‌های تازه‌سازی استفاده کنید

نتیجه‌گیری

OAuth2 و OpenID Connect پایه امنیت وب مدرن را تشکیل می‌دهند، راهکارهای استانداردی برای احراز هویت و مجوزدهی فراهم می‌کنند که هر توسعه‌دهنده‌ای باید آن‌ها را درک کند. با اجرای صحیح این پروتکل‌ها، برنامه‌ها می‌توانند تجربه‌های کاربری امن و بدون قطعیت ارائه دهند در حالی که داده‌های حساس را محافظت می‌کنند. با ادامه تکامل محیط دیجیتال، این پروتکل‌ها همچنان ابزارهای ضروری برای ساختن اعتماد و امنیت در برنامه‌های وب خواهند بود.

چه در حال ساختن یک برنامه وب کوچک و چه یک سیستم بزرگ مقیاس، درک OAuth2 و OpenID Connect برای ایجاد نرم‌افزارهای مقاوم و امن که کاربران می‌توانند به آن‌ها اعتماد کنند، ضروری است.

Share:
Related Posts