4D NetKit: PKCE pro OAuth 2.0

Automaticky přeloženo z Deepl

OAuth 2.0 je základním kamenem moderního ověřování. Vstupuje PKCE, klíčové vylepšení posilující OAuth 2.0 proti útokům typu interception a replay. S uvedením 4D 20 R5 nyní nabízíme bezproblémovou integraci PKCE do procesů ověřování OAuth 2.0.

Při nastavení nového inicializačního parametru PKCEEnabled na True třídy cs.NetKit.vetřídě OAuth2Provider aktivujete Proof Key for Code Exchange(PKCE) v rámci procesů ověřování OAuth 2.0. PKCE zavádí další vrstvu zabezpečení tím, že zmírňuje útoky na zachycení a přehrání pro desktopové aplikace. Povolení PKCE zajišťuje, že každá výměna autorizačního kódu je kryptograficky zabezpečena, což posiluje celkovou integritu ověřovacích toků OAuth 2.0. Tato jednoduchá úprava parametrů zvyšuje bezpečnost vaší aplikace, aniž by došlo ke zhoršení uživatelského komfortu.

Chcete-li například ověřit svůj účet Google pomocí PKCE, stačí zadat:

var $credential:={}
// google
$credential.name:="Google" 
$credential.permission:="signedIn"
$credential.clientId:="499730xxx"
$credential.clientSecret:="fc1kwxxx"
$credential.redirectURI:="http://127.0.0.1:50993/authorize/"
$credential.scope:="https://mail.google.com/"
// PKCE activation
$credential.PKCEEnabled:=True

var $oauth2:=cs.NetKit.OAuth2Provider.new($credential)
var $token:=Try($oauth2.getToken())
if ($token=null)
  ALERT("Error: "+Last errors[0].message)
end if 

Všimněte si, že PKCE je k dispozici pouze pro permission=“SignIn“.

Podrobnější informace o integraci PKCE do procesů ověřování OAuth 2.0 naleznete v dokumentaci 4D NetKit.

Fabrice Mainguené
- Product Owner -Fabrice Mainguené se připojil k týmu 4D Program v listopadu 2016. Jako Product Owner má na starosti psaní uživatelských příběhů, které následně převádí do funkčních specifikací. Jeho úkolem je také zajistit, aby dodaná implementace funkcí splňovala potřeby zákazníků.Po získání bakalářského titulu v oboru informatiky na CNAM nastoupil Fabrice do malé softwarové vydavatelské společnosti jako vývojář Windev. Poté pracoval pro různé společnosti v oblasti průmyslu a obchodu jako vývojář aplikací Windev a webových aplikací a také jako technický poradce pro nové funkce.