İçeriğe atla

OAuth

OAuth logo, Chris Messina tarafından tasarlandı

OAuth açık standartlı bir yetkilendirme protokolüdür, genellikle internet kullanıcıları tarafından kendi Google, Microsoft, Facebook, Twitter, One Network vb. hesaplarının şifrelerini açığa çıkarmadan üçüncü parti web sitelerine erişmek için kullanılır.[1] Genellikle OAuth kaynağın sahibi adına, kullanıcılara sunucu kaynakları için "güvenli temsili erişim" sağlıyor. Kaynak sahipleri için bir süreç başlatıyor. Bu süreçte kaynak sahiplerinin sunucu kaynaklarına herhangi bir kimlik paylaşımı olmadan üçüncü taraf erişim yetkisi sağlanıyor. Spesifik olarak Hypertext Transfer Protocol (HTTP) ile çalışması için tasarlanmış, OAuth temelde yetkili sunucu ile ve kaynak sahibinin onayı ile access tokenslerinin third-party kullanıcılarına verilmesine izin veriyor. Daha sonra third party, kaynak sunucudaki korumalı kaynaklara erişmek için access tokenlarını kullanıyor.[2]

OAuth, OpenID ile bütünleşik ama ondan farklı bir servistir . OAuth aynı zamanda OATH'tan da farklıdır. OATH yetkilendirme için bir standart değil, kimlik doğrulama için referans bir mimaridir. Bununla birlikte kimlik doğrulama katmanı olan OIDC, OAuth 2.0 üzerine yapılandırıldığından beri OAuth direkt olarak OpenID Connect (OIDC) bağlıdır.

Tarihçe

OAuth Kasım 2006'da başladı, Blaine Cook Twitter OpenID uygulamasını geliştiriyordu. Bu sırada, Ma.gnolia OpenID'ye sahip üyelerinin Dashboard Widgets'leri yetkilendirerek kendi servisine erişebilmesi için bir çözüme ihtiyacı vardı. Magnolia'dan Cook, Chris Messina ve Larry Halff, David Recordon ile tanıştılar ve OpenID'yi Twitter and Ma.gnolia APIs ile kullanarak kimlik doğrulamayı devretmeyi görüştüler. API erişim yetkisi için open standards olmadığı sonucuna vardılar. [kaynak belirt]

Açık protokol için bir taslak öneri yazmaları için küçük grup ugulayıcıdan oluşan OAuth Discussion Group Nisan 2007 de oluşturuldu. Google'dan DeWitt Clinton OAuth projesini öğrendi ve projeye duyduğu ilgiyi üzerindeki çalışmaları destekleyerek gösterdi. Temmuz 2007'de ilk tanımlamayı yayınladılar. Eran Hammer joined and coordinated the many OAuth contributions creating a more formal specification. On December 4, 2007, the OAuth Core 1.0 final draft was released.[3]

Kasım 2008 Minneapolis de yapılan 74. Internet Mühendisliği Görev Gücü (IETF) toplantısında düzenlenen OAuth BoF, protokolü IETF'e getirip daha standartlaştırma çalışmaları görüşmek için toplanıldı. Etkinlik katılımı yüksekti ve resmi olarak IETF içindeki OAuth çalışma grubunu kurmak için geniş bir destek geldi.

Nisan 2010 da OAuth 1.0 protokolü, yorumlar için bilgilendirme talebi olan RFC 5849 olarak yayımlandı.

31 Ağustos 2010 dan beri bütün third party Twitter uygulamaları için OAuth kullanımı mecburi oldu.[4]

Ekim 2013'te RFC 6749 olarak OAuth 2.0 ve RFC 6750 olarak Bearer Token Usage yayımlandı. Bu iki standartta Requests for Comments takip ediliyor.

OAuth 2.0

OAuth 2.0, OAuth protokolünün bir sonraki versiyonu ve OAuth 1.0 ile uyumluluğu yok. OAuth 2.0 kullanıcı geliştirici kolaylığına, web uygulamalarına, masaüstü uygulamalarına, cep telefonlarına ve oturma odalarında kullanılan cihazlara spesifik yetki akışları sağlayarak odaklanmış oluyor. IETF OAuth çalışma grubu tarafından ilişkili RFC'ler ve spesifikasyonlar geliştiriliyor;[5] Ekim 2012 de ana framework yayımlanıyor. (Eran Hammer'a göre 2010 sonunda bitirilmesi bekleniyordu.[6] Fakat OAuth hakkındaki çelişen incelemeler nedeniyle Hammer çalışma grubundan ayrıldı.[7])

Facebook Graph API sadece OAuth 2.0 protokolünü destekliyor.[8] Google bütün API'leri için kimlik doğrulama mekanizması olarak önerilen OAuth 2.0'ı destekliyor.[9] 2011'den bu yana da Microsoft[10] API'leri için OAuth 2.0'ı deneysel olarak desteklemeye başladı.

Ekim 2012 de OAuth 2.0 Framework [11] and Bearer Token Usage[12] yayımlandı. Diğer dokümanlar için OAuth çalışma grubunda çalışılmaya halen devam ediliyor.

Güvenlik

Nisan 2009 da 1.0 protokolündeki oturum odaklı güvenlik açığı duyuruldu. Bu açık OAuth Core 1.0 Section 6. Version 1.0'daki OAuth kimlik doğrulama akışını ("3-legged OAuth" olarak da bilinen) etkiliyor.[13] Bu sebeple OAuth Core protokolü bu sorunu ortadan kaldırmak üzere görevlendiriliyor.[14]

OAuth 2.0 de imzalama, şifreleme, channel binding veya kullanıcı doğrulama desteklenmiyor. OAuth 2.0 de gizlilik ve sunucunun kimlik doğrulaması için tamamen TLS'e güveniliyor.[15][16]

OAuth 2.0 da uygulamaların maruz kaldığı birçok güvenlik açığı vardı.[17] Güvenlik uzmanları tarafından protokol, yapısı gereği emniyetsiz olarak tanımlandı ve spesifikasyona asıl katkı sağlayan, uygulama hatalarının neredeyse kaçınılmaz olduğunu belirtti.[18][19]

Ocak 2013'te IETF OAuth 2.0 için birkaç tane tehdit modelleri tanımladı.[20] Bunların arasından biri "Open Redirector"; 2014 baharında, Wang Jing tarafından "Covert Redirect" adı altında tanıtıldı.[21][22][23][24]

Muhtemelen OAuth'daki en yıkıcı güvenlik açığı yemleme zafiyeti oldu :[25] OAuth kullanan her web sitesi görsel olarak (teknik olarak değil) kullanıcıların master kimliklerindeki kullanıcı adı ve şifresini soruyor, bu ise sıradan kullanıcıların saldırganın web sitesinde karşılarına çıkacak olan kimlik bilgilerini çalmak için görsel olarak taklit edilmiş yerlere master kimlik bilgilerini vermelerini engelliyor. İki faktörle yapılan kimlik doğrulama bu saldırıya engel olmuyor, çünkü yemleme sitesi onu da çalabilir (ve hemen kullanabilir).

Birlikte İşlemezlik

OAuth 2.0 tanımlanmış bir protokolden çok framework olduğu için, OAuth 2.0 uygulamaları diğer OAuth 2.0 uygulamaları ile doğal olarak birlikte işler olmaları çok olanaklı değildir. Daha ileri ayrıntılı inceleme ve spesifıkasyon birlikte işlerlik için gereklidir.[26]

Kullanım

OAuth yetkilendirme mekanizması olarak güvenli RSS/ATOM feedlerini tüketmek için kulanılır. Kimlik doğrulaması gereken RSS/ATOM feedlerinin tüketimi her zaman bir sorun olmuştur. Örneğin; güvenilir Google Site içindeki RSS feed, Google Reader kullanılarak tüketilemez. Bunun yerine Google sitesindeki RSS feed'e ulaşması için three-legged OAuth Google Reader da yetki verme için kullanılabilir.

OAuth Kullanan OpenID vs. pseudo-authentication

OAuth kimlik doğrulama protokolü yerine bir yetki verme protokolüdür. Kimlik doğrulama metodu olarak sadece OAuth kullanılması pseudo-authentication olarak da anılabilir. Aşağıdaki çizimlerde OpenID (özellikle kimlik doğrulama protokolü olarak tasarlandı) ve kimlik doğrulama için OAuth protokolleri arasındaki farkları belirtilmiştir.

Her iki processteki bağlantı akışı da benzer:

  1. (çizimde yok) Kullanıcı uygulamadan kaynak veya site girişi için istek yapıyor.
  2. Site kullanıcının kimliğinin doğrulanmadığını görüyor. Kimlik sağlayıcıya bir istek formüle ediyor, bunu şifreliyor ve bunu kullanıcıya yönlendirilen URL içinde bir kısımda gönderiyor.
  3. Kullanıcının tarayıcısı, kimlik sağlayıcısı için yönlendirilen URL'in isteğini yapıyor, bu aynı zamanda uygulama isteği
  4. Eğer gerekli olursa kimlik sağlayıcı kullanıcının doğruluğunu ispatlıyor (muhtemelen bunu kullanıcılara, kullanıcı adı ve şifre soruyor)
  5. Kimlik sağlayıcı tatmin olduğunda kullanıcının doğruluğu yeterli bir şekilde kanıtlanmış oluyor. Uygulama isteği gönderme, yanıtı formüle etme ve bunu kullanıcıya geri gönderme bununla beraber yönlendirilen URL'in uygulamaya geri gönderilmesi işlemlerini yapıyor.
  6. Kimlik sağlayıcının cevabı ile beraber, kullanıcının tarayıcısı uygulamaya geri dönen yönlendirilmiş URL için istek yapıyor.
  7. Uygulama kimlik sağlayıcının cevabını deşifre ediyor ve gereğince işi sürdürüyor.
  8. (Sadece OAuth için) Uygulama, kimlik sağlayıcının servisine kullanıcı yerine direkt erişim sağlamak için cevabın içinde bulunan access token'ı kullanabilir.

En önemli farklılıkları OpenID'de kimlik doğrulama için kullanım gereklilikleri, kimlik sağlayıcının cevabı kimliğin beyanı; OAuth kullanım gerekliliğinde ise, kimlik sağlayıcı aynı zamanda bir API sağlayıcı ve kimlik sağlayıcının cevabı, kullanıcı yerine kimlik sağlayıcının bazı API 'lerine uygulamada halen devam eden erişimi verebilecek bir access tokendir. Access token uygulamanın, kimlik sağlayıcısına isteklerinde ekleyebileceği bir cüzdan anahtarı("valet key") olarak davranır. Bu ise kullanıcının API 'lere erişim için izni olduğunu kanıtlar.

Kimlik sağlayıcı genellikle (ama her zaman değil) kullanıcının kimlik doğruluğunu OAuth için access token verme işleminin bir parçası olarak ispatlıyor, bu da başarılı bir OAuth token erişim isteğini ayrı bir kimlik doğrulama metodu olabileceğini gösteriyor. Yine de OAuth bu kullanım senaryosu ile tasarlanmadığı için, böyle bir varsayımda bulunmak büyük güvenlik açıklarına sebep olabilir.[27]

OpenID vs. pseudo-authentication using OAuth

Karşıtlık

Temmuz 2012 de OAuh 2.0'daki baş yazar rolünden ayrılarak, IETF'deki çalışma grubundan da çekilip, ismini bu spesifikasyondan çıkardı. Hammer web ve kurumsal kültürler arasındaki bir çelişkinin üzerinde durarak, IETF'yi "tamamen kurumsal kullanım senaryoları" adı altında bir topluluk olduğunu anmıştır, bu "sadeliğe yeteneği yok" demektir. Hammer, Şu an sunulanın yetki verme protokolü için bir taslak olduğunu söylemiş ve "bu kurumsal bir yoldur", ekleyerek devam etmiştir "Danışmanlık servisleri ve entegrasyon çözümlerini satmak için yepyeni sınırdır."[7]

OAuth 2.0 ve 1.0 karşılaştırılırken Hammer "daha karışık, daha az birlikte çalışabilir, daha kullanışsız, daha tamamlanmamış ve en önemlisi daha güvensiz" hale geldiğine parmak basıyor. Hammer, mimari değişimlerin 2.0 versiyonu için kullanıcılardan tokenlerin bağını kopardığını, bütün imzalama ve şifrelemenin protokol seviyesinde kaldırıldığını ve yetkilendirme işlemlerini zorlaştırmadan tokenler iptal edilmeyeceğinden dolayı sona erme süresi olan tokenlerin eklendiğini açıklıyor. Spesifikasyonda birçok öğe açıkça belirtilmemiş ve sınırlanmamış çünkü "bu çalışma grubunun doğası gereği, hiçbir konu tutulacak kadar ya da her bir uygulamada karar verilmesi için açık bırakılacak kadar küçük/önemsiz değildir."[7]

Hammer daha sonra &Yet için kendi görüşlerini detaylandıran bir sunum veriyor.[28]

David Recordon da daha sonradan kendi ismini spesifikasyonlardan belirli olmayan nedenlerden dolayı çıkarıyor. Dick Hardt editör olarak yerine devam ediyor ve framework Ekim 2012 de yayımlanıyor.[11]

Ayrıca bakınız

  • List of OAuth providers
  • OpenID
  • DataPortability
  • Mozilla Persona
  • SAML
  • User-Managed Access

Kaynakça

  1. ^ "Arşivlenmiş kopya". 24 Nisan 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2016. 
  2. ^ [[rfc:6749|http://tools.ietf.org/html/rfc6749 14 Mayıs 2016 tarihinde Wayback Machine sitesinde arşivlendi.]]
  3. ^ "OAuth Core 1.0". 4 Aralık 2007. 25 Kasım 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 16 Ekim 2014. 
  4. ^ Chris Crum (31 Ağustos 2010). "Twitter Apps Go OAuth Today". WebProNews.com. 4 Eylül 2010 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Mart 2011. 
  5. ^ "Web Authorization Protocol (oauth)". IETF. 2 Temmuz 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 8 Mayıs 2013. 
  6. ^ Eran Hammer (15 Mayıs 2010). "Introducing OAuth 2.0". 29 Mart 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Mart 2011. 
  7. ^ a b c "OAuth 2.0 and the Road to Hell". Eran Hammer. 28 Temmuz 2012. 9 Ağustos 2012 tarihinde kaynağından arşivlendi. Erişim tarihi: 16 Ağustos 2012. 
  8. ^ "Authentication - Facebook Developers". developers.facebook.com. 7 Ağustos 2012 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2016. 
  9. ^ "Google Accounts Authentication and Authorization". developers.google.com. 25 Mart 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2016. 
  10. ^ Dare Obasanjo (4 Mayıs 2011). "Announcing Support for OAuth 2.0". windowsteamblog.com. 20 Ağustos 2012 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2016. 
  11. ^ a b "RFC6749 - The OAuth 2.0 Authorization Framework". Dick Hardt. Ekim 2012. 14 Mayıs 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 10 Ekim 2012. 
  12. ^ "RFC6750 - The OAuth 2.0 Authorization Framework: Bearer Token Usage". Michael Jones, Dick Hardt. Ekim 2012. 1 Aralık 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 10 Ekim 2012. 
  13. ^ "OAuth Security Advisory: 2009.1". 23 Nisan 2009. 27 Mayıs 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 23 Nisan 2009. 
  14. ^ "OAuth Core 1.0a". 30 Haziran 2009 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2016. 
  15. ^ "Is OAuth 2.0 Bad for the Web?". 20 Eylül 2010. 14 Mart 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 21 Eylül 2010. 
  16. ^ "an unwarranted bashing of Twitter's oAuth". 3 Ağustos 2011. 17 Mayıs 2013 tarihinde kaynağından arşivlendi. Erişim tarihi: 3 Ağustos 2011. 
  17. ^ "Hacking Facebook with OAuth 2.0 and Chrome". 12 Şubat 2013. 23 Nisan 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Mart 2013. 
  18. ^ "Re: OAUTH-WG OAuth2 attack surface..." 28 Şubat 2013. 21 Mayıs 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Mart 2013. 
  19. ^ "OAuth1, OAuth2, OAuth...?". 1 Mart 2013. 30 Nisan 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Mart 2013. 
  20. ^ OAuth 2.0 Threat Model and Security Considerations.
  21. ^ "OAuth Security Advisory: 2014.1 "Covert Redirect"". OAuth. 4 Mayıs 2014. 21 Kasım 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 10 Kasım 2014. 
  22. ^ "Serious security flaw in OAuth, OpenID discovered". CNET. 2 Mayıs 2014. 2 Kasım 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 10 Kasım 2014. 
  23. ^ "Math student detects OAuth, OpenID security vulnerability". Phys.org. 3 Mayıs 2014. 6 Kasım 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 11 Kasım 2014. 
  24. ^ "Covert Redirect". Tetraph. 1 Mayıs 2014. 10 Mart 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 10 Kasım 2014. 
  25. ^ "Arşivlenmiş kopya". 20 Nisan 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2016. 
  26. ^ Dick Hardt, ed.
  27. ^ "End User Authentication with OAuth 2.0". OAuth Community Site. 19 Kasım 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 8 Mart 2016. 
  28. ^ "OAuth 2.0 - Looking Back and Moving On". Eran Hammer. 23 Ekim 2012. 25 Nisan 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 22 Kasım 2012. 

Dış bağlantılar

İlgili Araştırma Makaleleri

<span class="mw-page-title-main">HTTP</span> iletişim protokolü

HTTP bir kaynaktan dağıtılan ve ortak kullanıma açık olan hiperortam bilgi sistemleri için uygulama seviyesinde bir iletişim protokolüdür. HTTP, World Wide Web için veri iletişiminin temelidir; burada köprü metni belgeleri, örneğin bir fare tıklamasıyla veya bir web tarayıcısında ekrana dokunarak kullanıcının kolayca erişebileceği diğer kaynaklara köprüler içerir.

Basit Ağ Yönetim Protokolü, bilgisayar ağları büyüdükçe bu ağlar üzerindeki birimleri denetlemek amacıyla tasarlanmıştır. Cihaz üzerindeki sıcaklıktan, cihaza bağlı kullanıcılara, internet bağlantı hızından sistem çalışma süresine kadar çeşitli bilgiler SNMP'de tanımlanmış ağaç yapısı içinde tutulurlar.

Telnet, Internet ağı üzerindeki çok kullanıcılı bir makineye uzaktaki başka bir makineden bağlanmak için geliştirilen bir TCP/IP protokolü ve bu işi yapan programlara verilen genel isimdir. Telnet iki bileşenden oluşur: (1) iki tarafın nasıl iletişim kuracağını belirleyen protokolün kendisi ve (2) hizmeti sağlayan yazılım uygulaması.Kullanıcı verileri, İletim Kontrol Protokolü (TCP) üzerinden 8 bitlik bayt yönlendirmeli bir veri bağlantısında Telnet kontrol bilgisi ile bant içi serpiştirilir. Telnet, 1969'da RFC 15 ile başlayarak geliştirildi, RFC 855'te genişletildi ve ilk İnternet standartlarından biri olan İnternet Mühendisliği Görev Gücü (IETF) İnternet Standardı STD 8 olarak standartlaştırıldı. encryption sağlayan bazı Telnet eklentileri geliştirilmiştir. Bağlanılan makineye girebilmek (login) için orada bir kullanıcı isminizin (İng:username) ve bağlantının gerçekleşebilmesi için bir telnet erişim programınızın olması gereklidir. Fakat bazı kütüphane ve herkese açık telnet bazlı web servisleri, bağlantı sırasında kullanıcı ismi (numarası) istemeyebilirler; ya da, kullanıcı isim ve parola olarak ne yazmanız gerektiği bağlandığınızda otomatik olarak karşınıza çıkar. Telnet, BBS sistemlere İnternet üzerinden erişimde günümüzde yaygın olarak kullanılmaktadır. Telnet erişim programları, günümüzdeki işletim sistemlerinin çoğunda işletim sistemi ile birlikte gelmektedir. Çok kullanıcılı işletim sistemleri genellikle kullanıcılara metin tabanlı bir arayüz sunar ve bu sistemlerde tüm işlemler klavye vasıtası ile komut isteminden gerçekleştirilir.

<span class="mw-page-title-main">SIP</span>

Oturum başlatma Protokolü (SIP), ses, video ve mesajlaşma uygulamalarını içeren gerçek zamanlı oturumları başlatmak, sürdürmek ve sonlandırmak için kullanılan bir sinyal protokolüdür. VoIP gibi IP üzerinden üzerinden ses, görüntü ve anlık mesaj iletişimi yanı sıra LTE (VoLTE) üzerinden cep telefonu araması için multimedya iletişim oturumlarını sinyalize etmek ve kontrol etmek için kullanılır. Günümüz IP Telefonlarının çoğunluğu SIP Protokolü ile çalışmaktadır. Cisco gibi bazı üreticiler SIP kullanmakla beraber bazı telefon modellerinde SCCP tercih etmektedir.

<span class="mw-page-title-main">Transport Layer Security</span> Internet Şifreleme Protokolü

Taşıma Katmanı Güvenliği (TLS) ve onun öncülü/selefi olan Güvenli Soket Katmanı (SSL), bilgisayar ağı üzerinden güvenli haberleşmeyi sağlamak için tasarlanmış kriptolama protokolleridir. X.509 sertifikalarını kullanırlar ve bundan dolayı karşı tarafla iletişime geçeceklerin kimlik doğrulaması asimetrik şifreleme ile yapılır ve bir simetrik anahtar üzerinde anlaşılır. Bu oturum anahtarı daha sonra taraflar arasındaki veri akışını şifrelemek için kullanılır. Bu, mesaj/veri gizliliğine ve mesaj kimlik doğrulama kodları için mesaj bütünlüğüne izin verir. Protokollerin birçok versiyonu ağ tarama, elektronik mail, İnternet üzerinden faks, anlık mesajlaşma ve İnternet üzerinden sesli iletişim gibi uygulamalarda yaygın olarak kullanılmaktadır. Bu durumda/içerikte/bağlamda en önemli özellik iletme gizliliğidir. Bundan dolayı kısa süreli oturum anahtarı, uzun süreli gizli simetrik anahtardan türetilememelidir.

<span class="mw-page-title-main">Kerberos (iletişim kuralı)</span>

Kerberos / kərbərəs / güvenli olmayan bir ağ üzerinde haberleşen kaynakların, bilet mantığını kullanarak kendi kimliklerini ispatlamak suretiyle iletişim kurmalarını sağlayan bir bilgisayar ağı kimlik doğrulama protokolüdür. Protokolün tasarımcıları, ilk başta istemci-sunucu modelini hedef almış ve bu doğrultuda hem kullanıcının hem de sunucunun birbirlerinin kimliklerini doğrulamasını sağlayan karşılıklı kimlik doğrulama özelliğini sunmuşlardır. Kerberos protokol mesajları, izinsiz dinlemelere ve yansıtma ataklarına karşı dayanıklıdır.

RADIUS, Livingston Enterprise tarafından geliştirilmiş, daha sonra da IETF RFC 2865 ve RFC 2866 ile standartlaştırılmıştır. RADIUS istemci-sunucu modeli tabanlıdır ve mesaj değişimi UDP protokolü ile gerçekleşir. Network Access Storage (NAS), RADIUS kullanıcısı olarak davranır ve kullanıcı isteğini RADIUS server'a aktarır. Diğer RADIUS kullanıcıları kablosuz bağlantı noktaları, yönlendiriciler (Router) ve anahtarlayıcılar (Switch) olabilir. RADIUS sunucusu kullanıcılardan istek aldıktan sonra kimlik doğrulama (Authentication), yetkilendirme (Authorization) ve ücretlendirme (Accounting) yani AAA işlemlerini gerçekleştirir. Kullanıcı ile sunucu arasındaki iletişim özel anahtar ile şifrelendirilmiş şekilde gerçekleştirilir, bu sayede şifre asla ağ üzerinden gönderilmez. Kullanıcı ve sunucular iletişim olmadan önce bu güvenlik yöntemine göre ayarlanmıştır ve eğer şifreler uyuşmazsa bağlantı sonlandırılır.

OpenID : Kelime tam Türkçe anlam karşığının "AçıkOturum" şeklinde olması için TDK'ya başvuru yapılmıştır.

İnternet Protokolü Güvenliği (IPsec), Internet Protokolü (IP) kullanılarak sağlanan iletişimlerde her paket için doğrulama ve şifreleme kullanarak koruma sağlayan bir protokol paketidir. IPsec, içinde bulundurduğu protokoller sayesinde, oturum başlarken karşılıklı doğrulama ve oturum sırasında anahtar değişimlerini gerçekleştirme yetkisine sahiptir. İki bilgisayar arasında (host-to-host), iki güvenlik kapısı arasında(network-to-network), bir güvenlik kapısı ve bir bilgisayar arasında(network-to-host) sağlanan bağlantıdaki veri akışını korumak için kullanılır. IPsec kriptografik güvenlik servislerini kullanarak IP protokolü ile gerçekleştirilen bağlantıları korumak için kullanılır. Ağ seviyesinde doğrulama veri kaynağı doğrulama,veri bütünlüğü, şifreleme ve replay saldırılarına karşı koruma görevlerini üstlenir.

İnternet anahtar değişim protokolü ya da Internet Key Exchange internet üzerinde güvenli bir şekilde veri alışverişi için kullanılan anahtarların değişimini sağlayan protokoldür.

<span class="mw-page-title-main">Microsoft hesabı</span> çevrim içi hesap

Microsoft account, Microsoft tarafından Windows Live hizmetlerinde sağlanan bir özelliktir. Kullanıcılara bir hesap kullanarak web sitelerine, cihazlara ve uygulamalarına oturum açmalarını sağlar.

<span class="mw-page-title-main">Google Hesabı</span> Google Hesap

Google Hesabı, Google tarafından çevrimiçi hizmetlere erişim amacıyla kimlik doğrulama ve yetkilendirme sağlayan bir kullanıcı hesabıdır. Tüm Google ürünlerine Google Arama, YouTube, Google Kitaplar, Google Finans, Google Haritalar ve diğerleri de dahil olmak üzere, bir hesap gerektirir. Google Hesabı, Gmail, Google+, Google Hangouts, Blogger ve diğerleri kullanımını için gereklidir. En önemlisi,günümüzde Androidle çalışan akıllı telefonlar ve tablet bilgisayarların hizmetlerini kullanmak için Google kimlik hesabı gereklidir.

<span class="mw-page-title-main">Apple ID</span>

Apple ID veya Apple Kimliği, böyle iWork, iCloud, iTunes Store ve Apple Store gibi ürünlerin çoğu için sunduğu herhangi bir e-posta sağlayıcısından bir müşterinin mevcut e-posta adresini kullanarak, çeşitli online sistemlere giriş yapmak için kullanılan bir all-in-one kullanıcı hesapıdır. Apple Inc. tarafından yaratılmıştır.

<span class="mw-page-title-main">WebSocket</span> bilgisayar iletişim protokolü

WebSocket, tek bir TCP bağlantısı üzerinden tam çift yönlü iletişim kanalı sağlayan bir bilgisayar iletişim protokolüdür. WebSocket protokolü IETF tarafından 2011 yılında RFC 6455 ile standart hale getirilmiş ve WebIDL içerisindeki WebSocket API W3C tarafından standart hale getirilmektedir.

Kimlik Yönetimi, Kimlik ve Erişim Yönetimi olarak da bilinir, bilgisayar güvenliğinde, “doğru kişilerin, doğru zamanda, doğru amaçlarla, doğru kaynaklara erişimini sağlayan” güvenlik ve işletme disiplinidir. Giderek daha da çok unsurlu hale gelen teknoloji ortamında uygun kaynaklara erişim ihtiyacını ve yine gittikçe titiz hale gelen uyumluluk gerekliliklerini hedefler.

Güvenli kabuk,, ağ hizmetlerinin güvenli olmayan bir ağ üzerinde güvenli şekilde çalıştırılması için kullanılan bir kriptografik ağ protokolüdür. En iyi bilinen örnek uygulaması bilgisayar sistemlerine uzaktan oturum açmak için olandır.

JSON Web Token (JWT), tarafların birbirleri arasındaki veri alışverişini ve bunun doğrulamasını sağlayan JSON tabanlı RFC 7519'de tanımlanmış açık bir standarttır. Örneğin bir sunucu, kullanıcının yönetici ayrıcalıklarına sahip olduğunu belirten bir anahtar (token) oluşturabilir ve bunu kullanıcıya gönderebilir. Kullanıcı daha sonra bu anahtar ile kendisine tanımlanmış olan yönetici yetkisini bir istemcide kullanabilir ve bütün taraflar tarafından yetkisi doğrulanabilir.

<span class="mw-page-title-main">Signal (yazılım)</span> Şifreli iletişim uygulaması

Signal, özgür ve açık kaynaklı, çapraz platform şifreli mesajlaşma yazılımı. Signal Vakfı ve Signal Messenger LLC tarafından geliştirmektedir. İnternet üzerinden dosyaları, sesli mesajları, görselleri ve videoları içerebilen kişiler arası mesajları veya grup mesajlarını göndermek için kullanılır. Ayrıca bire bir sesli ve görüntülü arama yapabilir, Android sürümü SMS uygulaması olarak da işlev görebilir.

WebRTC, web tarayıcılarına ve mobil uygulamalara basit uygulama geliştirme arayüzü (API'ler) aracılığıyla gerçek zamanlı iletişim (RTC) sağlayan ücretsiz, açık kaynaklı bir projedir. Direkt olarak eşler arası iletişime izin vermesi ile, eklenti yükleme veya uygulama indirme ihtiyacını ortadan kaldırarak, ses ve video iletişiminin web sayfalarında kolaylıkla kullanılmasını sağlar. Apple, Google, Microsoft, Mozilla ve Opera tarafından desteklenen WebRTC, World Wide Web Konsorsiyumu (W3C) ve İnternet Mühendisliği Görev Gücü (IETF) aracılığıyla standartlaştırılmaktadır.

Yetkilendirme, genel bilgi güvenliği ve bilgisayar güvenliği ve özellikle erişim kontrolü ile ilgili kaynaklara erişim haklarını / ayrıcalıklarını belirleme işlevidir. Daha resmi olarak, "yetkilendirmek" bir erişim politikası tanımlamaktır. Örneğin, insan kaynakları personeli normalde çalışan kayıtlarına erişim yetkisine sahiptir ve bu politika genellikle bir bilgisayar sisteminde erişim kontrol kuralları olarak resmîleştirilir. İşletim sırasında, sistem, (doğrulanmış) tüketicilerden gelen erişim taleplerinin onaylanmasına (verileceğine) veya reddedileceğine (reddedileceğine) karar vermek için erişim kontrol kurallarını kullanır. Kaynaklar, tek tek dosyaları veya bir öğenin verilerini, bilgisayar programlarını, bilgisayar aygıtlarını ve bilgisayar uygulamaları tarafından sağlanan işlevleri içerir. Tüketici örnekleri bilgisayar kullanıcıları, bilgisayar yazılımı ve bilgisayardaki diğer donanımlardır.


Bu sayfa, bu Vikipedi makalesine dayanmaktadır.
Metin, CC BY-SA 4.0 lisansı altında mevcuttur; ek koşullar uygulanabilir.
Görseller, videolar ve sesler kendi lisansları altında mevcuttur.