Lompat ke isi

OAuth: Perbedaan antara revisi

Dari Wikipedia bahasa Indonesia, ensiklopedia bebas
Jelajahi riwayat secara interaktif
← Revisi sebelumnyaRevisi selanjutnya →
Konten dihapus Konten ditambahkan
VisualTeks wiki
k clean up
Tidak ada ringkasan suntingan
Baris 1: Baris 1:
[[Berkas:Oauth logo.svg|jmpl|Logo OAuth]]
[[Berkas:Oauth logo.svg|jmpl|Logo OAuth]]


'''OAuth''' adalah suatu [[protokol]] terbuka yang memungkinkan pengguna untuk berbagi sumber pribadi mereka (mis. [[foto]], [[video]], daftar alamat) yang disimpan di suatu [[situs web]] dengan situs lain tanpa perlu menyerahkan nama pengguna dan kata sandi mereka. Proses ini dilakukan dengan memberikan token, bukan nama pengguna dan kata sandi, untuk data mereka yang diinangi oleh suatu penyedia jasa tertentu. Setiap token memberikan akses untuk suatu situs spesifik (mis. suatu situs penyunting video) terhadap suatu sumber spesifik (mis. hanya video dari album tertentu) selama durasi tertentu (mis. dua jam ke depan).
'''OAuth''' (kependekan dari "'''Open Authorization'''"<ref name="NIST">{{cite web|title=Open Authorization - Glossary {{!}} CSRC|url=https://csrc.nist.gov/glossary/term/open_authorization|website=csrc.nist.gov}}</ref><ref name="RFC6749">{{Cite journal|last=Hardt|first=Dick|date=October 2012|title=RFC6749 - The OAuth 2.0 Authorization Framework|url=https://tools.ietf.org/html/rfc6749|publisher=[[Internet Engineering Task Force]]|doi=10.17487/RFC6749|archive-url=https://web.archive.org/web/20121015184712/http://tools.ietf.org/html/rfc6749|archive-date=15 October 2012|access-date=10 October 2012|editor-first1=D|editor-last1=Hardt|url-status=live}}</ref>) adalah suatu [[protokol]] terbuka yang memungkinkan pengguna untuk berbagi sumber pribadi mereka (mis. [[foto]], [[video]], daftar alamat) yang disimpan di suatu [[situs web]] dengan situs lain tanpa perlu menyerahkan nama pengguna dan kata sandi mereka. Proses ini dilakukan dengan memberikan token, bukan nama pengguna dan kata sandi, untuk data mereka yang diinangi oleh suatu penyedia jasa tertentu. Setiap token memberikan akses untuk suatu situs spesifik (mis. suatu situs penyunting video) terhadap suatu sumber spesifik (mis. hanya video dari album tertentu) selama durasi tertentu (mis. dua jam ke depan).


OAuth mengizinkan seorang mengguna untuk memberikan akses kepada situs pihak ketiga untuk mengakses informasi mereka yang disimpan di penyedia layanan lain tanpa harus membagi izin akses atau keseluruhan data mereka. Cara kerjanya kurang lebih mirip dengan menggunakan [[kartu kredit]] dan menandatangani slip transaksi, alih-alih memberikan kartu ATM dan PIN-nya.
OAuth mengizinkan seorang mengguna untuk memberikan akses kepada situs pihak ketiga untuk mengakses informasi mereka yang disimpan di penyedia layanan lain tanpa harus membagi izin akses atau keseluruhan data mereka. Cara kerjanya kurang lebih mirip dengan menggunakan [[kartu kredit]] dan menandatangani slip transaksi, alih-alih memberikan kartu ATM dan PIN-nya.


== Masalah keamanan ==
Layanan OAuth merupakan layanan komplementer tetapi terpisah dari OpenId.


=== OAuth 1.0 ===
OAuth generasi pertama (OAuth 1.0 2LO) sudah tidak digunakan lagi sepenuhnya pada tanggal 20 Oktober 2016. Cara termudah untuk bermigrasi ke standar yang baru adalah menggunakan akun layanan OAuth 2.0 dengan delegasi seluruh domain.
Pada 23 April 2009, sebuah kelemahan keamanan fiksasi sesi dalam protokol 1.0 diumumkan. Itu mempengaruhi arus otorisasi OAuth (juga dikenal sebagai "3-legged OAuth") indi OAuth Core 1.0 Bagian 6.<ref>{{Cite web|date=23 April 2009|title=OAuth Security Advisory: 2009.1|url=http://oauth.net/advisories/2009-1|website=oauth.net|archive-url=https://web.archive.org/web/20160527002938/http://oauth.net/advisories/2009-1/|archive-date=27 May 2016|access-date=23 April 2009|url-status=live}}</ref> Version 1.0a dari protokol OAuth Core dikeluarkan untuk mengatasi masalah ini.<ref>{{Cite web|title=OAuth Core 1.0a|url=http://oauth.net/core/1.0a|website=oauth.net|archive-url=https://web.archive.org/web/20090630092220/http://oauth.net/core/1.0a|archive-date=30 June 2009|access-date=17 July 2009|url-status=live}}</ref>


=== OAuth 2.0 ===
Beberapa aplikasi yang menggunakan metode autentikasi OAuth 2.0 untuk mengakses produk tertentu berhenti mengakses data jika sandi pengguna direset.
Pada Januari 2013, Internet Engineering Task Force mempublikasikan sebuah model ancaman untuk OAuth 2.0.<ref name="RFC6819">{{Cite journal|last1=Lodderstedt|first1=Torsten|last2=McGloin|first2=Mark|last3=Hunt|first3=Phil|date=January 2013|title=RFC6819 - OAuth 2.0 Threat Model and Security Considerations|url=https://tools.ietf.org/html/rfc6819.html|language=en|doi=10.17487/RFC6819|archive-url=https://web.archive.org/web/20200630000422/https://tools.ietf.org/html/rfc6819|archive-date=30 June 2020|access-date=29 June 2020|editor-first1=T|editor-last1=Lodderstedt|url-status=live|website=[[Internet Engineering Task Force]]|doi-access=free}}[rfc:6819 OAuth 2.0 Threat Model and Security Considerations]. Internet Engineering Task Force. Accessed January 2015.</ref> Di antara ancaman yang diuraikan ada satu yang disebut "Open Redirector"; pada awal tahun 2014, variannya dijelaskan dengan nama "Covert Redirect" oleh Wang Jing.<ref name="OAuth_Covert_Redirect">{{Cite web|date=4 May 2014|title=OAuth Security Advisory: 2014.1 "Covert Redirect"|url=http://oauth.net/advisories/2014-1-covert-redirect/|website=oauth.net|archive-url=https://web.archive.org/web/20151121111134/http://oauth.net/advisories/2014-1-covert-redirect/|archive-date=21 November 2015|access-date=10 November 2014|url-status=live}}</ref><ref name="CNET">{{Cite web|date=2 May 2014|title=Serious security flaw in OAuth, OpenID discovered|url=http://www.cnet.com/news/serious-security-flaw-in-oauth-and-openid-discovered/|website=[[CNET]]|archive-url=https://web.archive.org/web/20151102002904/http://www.cnet.com/news/serious-security-flaw-in-oauth-and-openid-discovered/|archive-date=2 November 2015|access-date=10 November 2014|url-status=live}}</ref><ref name="PhysOrg">{{Cite web|date=3 May 2014|title=Math student detects OAuth, OpenID security vulnerability|url=http://phys.org/news/2014-05-math-student-oauth-openid-vulnerability.html|publisher=Phys.org|archive-url=https://web.archive.org/web/20151106024436/http://phys.org/news/2014-05-math-student-oauth-openid-vulnerability.html|archive-date=6 November 2015|access-date=11 November 2014|url-status=live}}</ref><ref name="Covert_Redirect">{{Cite web|date=1 May 2014|title=Covert Redirect|url=http://tetraph.com/covert_redirect/|publisher=Tetraph|archive-url=https://web.archive.org/web/20160310005903/http://tetraph.com/covert_redirect/|archive-date=10 March 2016|access-date=10 November 2014|url-status=live}}</ref>

Dalam draf OAuth 2.1, penggunaan ekstensi PKCE untuk aplikasi asli telah direkomendasikan untuk semua jenis klien OAuth, termasuk aplikasi web dan klien rahasia lainnya untuk menghindari ekstensi browser berbahaya yang melakukan serangan injeksi kode OAuth 2.0.<ref name=":0" />

== Penggunaan ==
[[Facebook Platform# Graph API|Graph API]] [[Facebook]] hanya mendukung OAuth 2.0.<ref>{{Cite web|title=Authentication - Facebook Developers|url=https://developers.facebook.com/docs/authentication/|website=Facebook for Developers|archive-url=https://web.archive.org/web/20140123045312/https://developers.facebook.com/docs/authentication/|archive-date=23 January 2014|access-date=5 January 2020|url-status=live}}</ref> [[Google]] mendukung OAuth 2.0 sebagai mekanisme otorisasi yang direkomendasikan untuk semua [[Application Programming Interface|API]]<nowiki/>nya.<ref>{{Cite web|title=Using OAuth 2.0 to Access Google APIs &#124; Google Identity Platform|url=https://developers.google.com/identity/protocols/OAuth2|website=Google Developers|archive-url=https://web.archive.org/web/20200104215722/https://developers.google.com/identity/protocols/OAuth2|archive-date=4 January 2020|access-date=4 January 2020|url-status=live}}</ref> [[Microsoft]] juga mendukung OAuth 2.0 untuk berbagai API dan layanan Azure Active Directory-nya,<ref>{{Cite web|title=v2.0 Protocols - OAuth 2.0 Authorization Code Flow|url=https://docs.microsoft.com/en-us/azure/active-directory/active-directory-v2-protocols-oauth-code|website=Microsoft Docs|archive-url=https://web.archive.org/web/20200629235721/https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-oauth2-auth-code-flow|archive-date=29 June 2020|access-date=29 June 2020|url-status=live}}</ref> yang digunakan untuk mengamankan banyak API Microsoft dan pihak ketiga.

OAuth dapat juga digunakan sebagai mekanisme otorisasi untuk mengakses umpan [[RSS]]/[[Atom (standar)|Atom]] yang aman. Akses menuju umpan RSS/ATOM yang memerlukan autentikasi selalu menjadi masalah. Sebagai contoh, sebuah umpan RSS dari sebuah [[Google Sites|Google Site]] yang aman tidak dapat diakses menggunakan [[Google Reader]]. Sebaliknya, OAuth berlapis tiga akan digunakan untuk mengotorisasi klien RSS tersebut untuk mengakses umpan dari Situs Google.

== Referensi ==
{{reflist|colwidth=30em}}


== Pranala luar ==
== Pranala luar ==


* [https://oauth.com oauth.com]
* {{en}} OAuth.net
* [https://oauth.net oauth.net]
* {{en}} OAuth WG di IETF
* {{en}} OAuth WG di IETF
* {{en}} OAuth Code Library Support di Google Groups
* {{en}} Google OAuth & Federated Login Research
* {{en}} Google OAuth & Federated Login Research
* {{en}} Yahoo! OAuth Quick Start Guide
* {{en}} Yahoo! OAuth Quick Start Guide


[[Kategori:Protokol Internet]]
[[Kategori:Protokol Internet]]
[[Kategori:Standar awan]]
[[Kategori:Kontrol akses komputer]]

Revisi per 11 Oktober 2023 06.07

Logo OAuth

OAuth (kependekan dari "Open Authorization"[1][2]) adalah suatu protokol terbuka yang memungkinkan pengguna untuk berbagi sumber pribadi mereka (mis. foto, video, daftar alamat) yang disimpan di suatu situs web dengan situs lain tanpa perlu menyerahkan nama pengguna dan kata sandi mereka. Proses ini dilakukan dengan memberikan token, bukan nama pengguna dan kata sandi, untuk data mereka yang diinangi oleh suatu penyedia jasa tertentu. Setiap token memberikan akses untuk suatu situs spesifik (mis. suatu situs penyunting video) terhadap suatu sumber spesifik (mis. hanya video dari album tertentu) selama durasi tertentu (mis. dua jam ke depan).

OAuth mengizinkan seorang mengguna untuk memberikan akses kepada situs pihak ketiga untuk mengakses informasi mereka yang disimpan di penyedia layanan lain tanpa harus membagi izin akses atau keseluruhan data mereka. Cara kerjanya kurang lebih mirip dengan menggunakan kartu kredit dan menandatangani slip transaksi, alih-alih memberikan kartu ATM dan PIN-nya.

Masalah keamanan

OAuth 1.0

Pada 23 April 2009, sebuah kelemahan keamanan fiksasi sesi dalam protokol 1.0 diumumkan. Itu mempengaruhi arus otorisasi OAuth (juga dikenal sebagai "3-legged OAuth") indi OAuth Core 1.0 Bagian 6.[3] Version 1.0a dari protokol OAuth Core dikeluarkan untuk mengatasi masalah ini.[4]

OAuth 2.0

Pada Januari 2013, Internet Engineering Task Force mempublikasikan sebuah model ancaman untuk OAuth 2.0.[5] Di antara ancaman yang diuraikan ada satu yang disebut "Open Redirector"; pada awal tahun 2014, variannya dijelaskan dengan nama "Covert Redirect" oleh Wang Jing.[6][7][8][9]

Dalam draf OAuth 2.1, penggunaan ekstensi PKCE untuk aplikasi asli telah direkomendasikan untuk semua jenis klien OAuth, termasuk aplikasi web dan klien rahasia lainnya untuk menghindari ekstensi browser berbahaya yang melakukan serangan injeksi kode OAuth 2.0.[10]

Penggunaan

Graph API Facebook hanya mendukung OAuth 2.0.[11] Google mendukung OAuth 2.0 sebagai mekanisme otorisasi yang direkomendasikan untuk semua APInya.[12] Microsoft juga mendukung OAuth 2.0 untuk berbagai API dan layanan Azure Active Directory-nya,[13] yang digunakan untuk mengamankan banyak API Microsoft dan pihak ketiga.

OAuth dapat juga digunakan sebagai mekanisme otorisasi untuk mengakses umpan RSS/Atom yang aman. Akses menuju umpan RSS/ATOM yang memerlukan autentikasi selalu menjadi masalah. Sebagai contoh, sebuah umpan RSS dari sebuah Google Site yang aman tidak dapat diakses menggunakan Google Reader. Sebaliknya, OAuth berlapis tiga akan digunakan untuk mengotorisasi klien RSS tersebut untuk mengakses umpan dari Situs Google.

Referensi

  1. ^ "Open Authorization - Glossary | CSRC". csrc.nist.gov. 
  2. ^ Hardt, Dick (October 2012). Hardt, D, ed. "RFC6749 - The OAuth 2.0 Authorization Framework". Internet Engineering Task Force. doi:10.17487/RFC6749. Diarsipkan dari versi asli tanggal 15 October 2012. Diakses tanggal 10 October 2012. 
  3. ^ "OAuth Security Advisory: 2009.1". oauth.net. 23 April 2009. Diarsipkan dari versi asli tanggal 27 May 2016. Diakses tanggal 23 April 2009. 
  4. ^ "OAuth Core 1.0a". oauth.net. Diarsipkan dari versi asli tanggal 30 June 2009. Diakses tanggal 17 July 2009. 
  5. ^ Lodderstedt, Torsten; McGloin, Mark; Hunt, Phil (January 2013). Lodderstedt, T, ed. "RFC6819 - OAuth 2.0 Threat Model and Security Considerations". Internet Engineering Task Force (dalam bahasa Inggris). doi:10.17487/RFC6819alt=Dapat diakses gratis. Diarsipkan dari versi asli tanggal 30 June 2020. Diakses tanggal 29 June 2020.  [rfc:6819 OAuth 2.0 Threat Model and Security Considerations]. Internet Engineering Task Force. Accessed January 2015.
  6. ^ "OAuth Security Advisory: 2014.1 "Covert Redirect"". oauth.net. 4 May 2014. Diarsipkan dari versi asli tanggal 21 November 2015. Diakses tanggal 10 November 2014. 
  7. ^ "Serious security flaw in OAuth, OpenID discovered". CNET. 2 May 2014. Diarsipkan dari versi asli tanggal 2 November 2015. Diakses tanggal 10 November 2014. 
  8. ^ "Math student detects OAuth, OpenID security vulnerability". Phys.org. 3 May 2014. Diarsipkan dari versi asli tanggal 6 November 2015. Diakses tanggal 11 November 2014. 
  9. ^ "Covert Redirect". Tetraph. 1 May 2014. Diarsipkan dari versi asli tanggal 10 March 2016. Diakses tanggal 10 November 2014. 
  10. ^ Kesalahan pengutipan: Tag <ref> tidak sah; tidak ditemukan teks untuk ref bernama :0
  11. ^ "Authentication - Facebook Developers". Facebook for Developers. Diarsipkan dari versi asli tanggal 23 January 2014. Diakses tanggal 5 January 2020. 
  12. ^ "Using OAuth 2.0 to Access Google APIs | Google Identity Platform". Google Developers. Diarsipkan dari versi asli tanggal 4 January 2020. Diakses tanggal 4 January 2020. 
  13. ^ "v2.0 Protocols - OAuth 2.0 Authorization Code Flow". Microsoft Docs. Diarsipkan dari versi asli tanggal 29 June 2020. Diakses tanggal 29 June 2020. 

Pranala luar

  • oauth.com
  • oauth.net
  • (Inggris) OAuth WG di IETF
  • (Inggris) Google OAuth & Federated Login Research
  • (Inggris) Yahoo! OAuth Quick Start Guide
Diperoleh dari "https://wiki-indonesia.club/w/index.php?title=OAuth&oldid=24502476"