OAuth2/OpenID Connect ბირთვში

OIDC OAuth2 არის სტანდარტული გზა, რომ დაამტკიცოს „ვინ მომხმარებელი/კლიენტი“ და მისცეს მოკლე წვდომა API- ს. პლატფორმის ბირთვში ის ხდება ცენტრალური უნარი: ერთი შესასვლელი მომხმარებლებისთვის, ოპერატორებისა და მომსახურებისთვის; მინიმალური პრივილეგიები; გაზომილი რისკი; რეგიონალური და სალიცენზიო წესების დაცვა.

1) მიზნები და პრინციპები

„deploy vs enable“ - ის გამიჯვნა: ჩვენ კოდს ცალკე ვასხამთ, დროშების/პოლიტიკოსების ჩათვლით.
მოკლე სიცოცხლის ნიშნები + უსაფრთხო განახლება: ჩვენ ამცირებს ზიანს გაჟონვის დროს.
მრავალ ჩრდილში/რეგიონში: ყველა არტეფაქტი აღინიშნება 'tenant/region/licence'.
პოლიტიკოსები ნიშნების თავზე: გადაწყვეტილებებს აკეთებს PDP (RBAC/ABAC), PEP gateway/სერვისებზე.
არხების დაცვა: TLS1. 2 +, თუ ეს შესაძლებელია mTLS/DPOP, მკაცრი CORS/CSRF.
დაკვირვება და აუდიტი: ხილვადობა ნაკადზე, კლიენტზე, რეგიონში.

2) ნაკადები და როდის უნდა გამოვიყენოთ ისინი

Authorization Code + PKCE (SPA/Mobile/Web) - ნაგულისხმევი მომხმარებლის ლოგინებისთვის.
მოწყობილობის ავტომატური (კონსოლი/TV/CLI) - როდესაც ბრაუზერი არ არის.
Client Credentials (მანქანა მანქანა) - მომსახურების ინტეგრაცია მომხმარებლის გარეშე.
Token Exchange (RFC 8693, OBO) - მომსახურება მოქმედებს მომხმარებლის სახელით.
CIBA/Back channel (სურვილისამებრ) - ავთენტიფიკაცია რედაქციის გარეშე.

• PAR (Pushed Authorization Requests) - ავტორიზაციის პარამეტრები გადადის დაცული სერვერის არხზე.
• JAR (JWT Secured Authorization) - მოთხოვნის პარამეტრები გაფორმებულია/დაშიფრულია.
• JARM არის დაცული ავტორიზაციის პასუხი (JWT), რომელიც მდგრადია ჩანაცვლების მიმართ.
• RAR (Rich Authorization Requests) - დაშვების უფლებების მდიდარი მოთხოვნა (დეტალური ნებართვები).

3) ნიშნები და სტიგმები

• ID Token (OIDC) - ვინ შევიდა (აჩვენეთ მხოლოდ კლიენტს/ფრონტზე).
• Access Token (AT) - მოქმედების უფლება (მოკლე ცხოვრება).
• Refresh Token (RT) - განაახლებს AT- ს; ინახება მხოლოდ სანდო გარემოში.

• AT: 5-15 წუთი (ვებ/მობილური), 2-5 წუთი (სამსახურის მომსახურება).
• RT: 7–30 дней (web/mobile) с rotation + reuse detection.