** احراز هویت در برنامه های کاربردی وب: به سبک Beavis & Butthead توضیح داده شده **🔐

سلام Chiquis! 👋🏻 برای سفر به دنیای احراز هویت وب آماده اید؟ ️در این دنیای دیجیتال که زندگی ما به صورت آنلاین انجام می شود، امنیت اطلاعات ما بسیار مهم است. اینجاست که احراز هویت وب وارد می شود، کلید اصلی که از حساب ها و داده های ما در برابر هکرهای شیطانی محافظت می کند.

آیا می توانید تصور کنید Beavis & Butthead وارد یک وب سایت شود؟ 🔑 این یک فاجعه کامل خواهد بود! بدون احراز هویت مناسب، هر کسی می‌تواند به حساب‌های شما دسترسی داشته باشد و ویران کند.

بنابراین، امروز ما به متخصصان Beavis & Butthead در امنیت وب تبدیل می‌شویم و روش‌های مختلف احراز هویت را به روشی سرگرم‌کننده و قابل درک یاد می‌گیریم.

از گذرواژه‌های کلاسیک گرفته تا احراز هویت دو مرحله‌ای، خواهیم فهمید که چگونه از خود در برابر نفوذگران محافظت کنیم و اطلاعات شخصی خود را ایمن نگه داریم. ️

احراز هویت چیست؟ 🤔
احراز هویت مانند زمانی است که Butthead سعی می کند به خانه من نفوذ کند. تا زمانی که خودش را درست تشخیص ندهد در را باز نمی کنم. در دنیای برنامه های کاربردی وب، احراز هویت فرآیند تأیید هویت کاربر است.

روش های احراز هویت 🛡️
تصور کنید که Beavis و Butthead می‌خواهند در یک کنسرت راک شرکت کنند، اما قبل از اینکه بتوانند وارد کنسرت شوند، باید از محافظ امنیتی (که در این مورد سرور برنامه‌های وب خواهد بود) بگذرند. نگهبان می خواهد بلیط های آنها را ببیند (مدارک احراز هویت).

بیویس: هی، باتهد، بلیطت کجاست؟ باتهد: اوه، نمی دانم، بیویس. آیا نمی‌توانیم دزدکی وارد شویم؟

اینجاست که احراز هویت وارد عمل می شود. در دنیای برنامه‌های کاربردی وب، «خراب کردن» یک گزینه نیست. برای ورود به یک “بلیت” معتبر نیاز دارید، به این معنی که باید به درستی احراز هویت کنید.

بیویس: اوه، صبر کن، من این تکه کاغذ کوچک را پیدا کردم که روی آن نوشته شده بود “کوکی”. خدمت می کند؟ بات هد: نه دینگو. این یک کوکی جلسه است. مثل مهر دستی است که نگهبان وقتی یک بار بلیط خود را نشان داده اید به شما می دهد. به شما امکان می دهد بدون نشان دادن بلیط خود هر بار وارد کنسرت شوید و از آن خارج شوید.

کوکی جلسه 🍪 شکلی از احراز هویت است که در آن سرور Beavis و Butthead (یا کاربر) را در طول مدت بازدید آنها شناسایی می کند. اما ابتدا باید بلیط قانونی خود را نشان دهند، یعنی نام کاربری و رمز عبور خود را.

بیویس: اوه، می بینم. بنابراین چگونه مطمئن شویم که هیچ کس دیگری از بلیط ما استفاده نمی کند؟ Butthead: خوب، Beavis، به این می گویند احراز هویت دو مرحله ای. مثل این است که نگهبان از شما بلیط را می خواهد و سپس یک سوال مخفی از شما می پرسد، مثلاً گروه راک مورد علاقه شما چیست.

احراز هویت دو مرحله ای 🔐 یک لایه امنیتی اضافی اضافه می کند. حتی اگر شخصی “بلیط” شما (رمز عبور شما) را دریافت کند، همچنان باید برای ورود به “سوال مخفی” (مانند کدی که به تلفن شما ارسال شده است) پاسخ دهد.

بیویس: عالی! پس آیا ما آماده ایم که سنگ بزنیم؟ بات هد: بله، بیویس. حالا که ما احراز هویت شدیم، می توانیم وارد کنسرت شویم و از نمایش لذت ببریم!

احراز هویت مبتنی بر کوکی 🍪
احراز هویت مبتنی بر کوکی مانند زمانی است که Butthead به خانه من می آید و من یک کوکی مخصوص به او می دهم که فقط او می تواند بخورد. هر بار که برمی گردد، کلوچه را به من نشان می دهد تا ثابت کنم که اوست.

احراز هویت با استفاده از توکن 🎟️
احراز هویت با استفاده از توکن ها مانند زمانی است که به کنسرت راک می روم و آنها یک دستبند مخصوص به من می دهند. آن دستبند به من اجازه می دهد هر چند بار که بخواهم وارد کنسرت شوم و از آن خارج شوم.

دسترسی شخص ثالث (OAuth، توکن API) 🔑
دسترسی شخص ثالث مانند زمانی است که کارت کتابخانه ام را به باتهد قرض می دهم تا بتواند کتاب ها را بررسی کند. کتابخانه به کارت من اعتماد دارد، بنابراین Butthead می تواند از طرف من کتاب ها را بررسی کند.

احراز هویت در یک برنامه وب چگونه کار می کند؟ 🌐
وقتی باتهد می‌خواهد وارد خانه من (برنامه وب) شود، باید در را بکوبد (درخواست ورود بکند). از او می پرسم که او کیست (سرور اعتبار را تأیید می کند) و اگر درست پاسخ داد، به او اجازه ورود می دهم (سرور یک جلسه ایجاد می کند و آن را در یک کوکی یا توکن نگهداری می کند). هر بار که Butthead می خواهد کاری در خانه من انجام دهد، باید کوکی یا دستبند خود را به من نشان دهد (مشتری با هر درخواست کوکی یا توکن را ارسال می کند). وقتی باتهد خانه من را ترک می کند، کوکی یا دستبند خود را دور می اندازد (زمانی که کاربر از سیستم خارج می شود جلسه بسته می شود).

بیایید در مورد رمزگذاری در زمینه برنامه های کاربردی وب صحبت کنیم
رمزگذاری مانند یک کد مخفی است که Beavis و Butthead می‌توانند از آن برای برقراری ارتباط استفاده کنند، بدون اینکه دیگران بفهمند چه می‌گویند. در برنامه های کاربردی وب، از رمزگذاری برای محافظت از داده ها و ایمن نگه داشتن آنها در حین انتقال از طریق اینترنت استفاده می شود.

دو نوع اصلی از رمزگذاری در برنامه های کاربردی وب استفاده می شود:

• رمزگذاری داده‌های در حال انتقال: این نوع رمزگذاری از داده‌ها در زمانی که از یک مکان به مکان دیگر منتقل می‌شوند، مانند رایانه شما به یک وب سرور، محافظت می‌کند. مثل این است که Beavis و Butthead در یک چت آنلاین با کد مخفی خود صحبت می کنند، بنابراین هیچ کس دیگری نمی تواند بفهمد آنها چه می گویند.
• رمزگذاری داده ها در حالت استراحت: این نوع رمزگذاری از داده های ذخیره شده در پایگاه داده یا سایر انواع ذخیره سازی محافظت می کند. انگار بیویس و باتهد در کد مخفی خود یادداشت هایی می نوشتند و در یک کشو نگه می داشتند تا هیچ کس دیگری نتواند آنها را بخواند.

برای رمزگذاری داده ها در یک برنامه وب، می توانید از الگوریتم های رمزگذاری مانند استاندارد رمزگذاری پیشرفته (AES) با کلیدی که در حالت ایده آل 256 بیت است استفاده کنید. همچنین می توانید از TLS نسخه 1.3 با رمزهای قوی در صورت امکان برای ایمن سازی داده ها در حین انتقال استفاده کنید.

مهم است که به یاد داشته باشید که رمزگذاری تنها بخشی از امنیت برنامه های وب است. همچنین باید سایر اقدامات امنیتی مانند اعتبار سنجی ورودی و کنترل دسترسی را در نظر بگیرید. 😊

احراز هویت وب سبک Beavis & Butthead 👦🏼
فهمیده شد! 🤘🏻 بیایید با یک مثال کد، با رعایت قیاس Beavis & Butthead، عمیق‌تر به احراز هویت وب بپردازیم. تصور کنید که ما در حال پیاده سازی یک سیستم احراز هویت برای یک برنامه وب هستیم که از نشانه های JWT (JSON Web Tokens) استفاده می کند. در اینجا یک مثال اساسی در Node.js با استفاده از کتابخانه آورده شده است jsonwebtoken:
جاوا اسکریپت

const jwt = require('jsonwebtoken');
const express = require('express');
const app = express();
// Tu "lista de invitados" con las credenciales de los usuarios
const usuarios = {
  'Beavis': 'password123',
  'Butthead': 'hehehe'
};
// Middleware para autenticar a Beavis y Butthead
app.post('/login', (req, res) => {
  const { usuario, contraseña } = req.body;

  // Verificamos si el usuario está en la lista y si la contraseña coincide
  if (usuarios[usuario] && usuarios[usuario] === contraseña) {
    // Autenticación exitosa, creamos el "boleto" (JWT)
    const token = jwt.sign({ sub: usuario }, 'tuSuperSecreto', { expiresIn: '1h' });

    // Respondemos con el "sello" (JWT)
    res.json({ mensaje: '¡Autenticación exitosa, dude!', token });
  } else {
    // Autenticación fallida
    res.status(401).json({ mensaje: 'Credenciales inválidas, bunghole.' });
  }
});
// Middleware para verificar el "sello" (JWT) en cada solicitud
const verificarToken = (req, res, next) => {
  const token = req.headers['authorization'];

  if (!token) {
    return res.status(403).json({ mensaje: 'Se requiere un token, dillweed.' });
  }

  jwt.verify(token, 'tuSuperSecreto', (err, decoded) => {
    if (err) {
      return res.status(500).json({ mensaje: 'Falló la verificación del token, fartknocker.' });
    }

    // Token verificado, procedemos
    req.usuario = decoded.sub;
    next();
  });
};
// Ruta protegida, solo accesible con un token válido
app.get('/concierto', verificarToken, (req, res) => {
  res.json({ mensaje: `Bienvenido al concierto, ${req.usuario}. ¡Vamos a rockear!` });
});
// Iniciamos el servidor
app.listen(3000, () => {
  console.log('Servidor escuchando en el puerto 3000...');
});

این کد یک فرآیند احراز هویت را شبیه سازی می کند که در آن Beavis و Butthead🎸 سعی می کنند به یک منطقه محافظت شده از یک برنامه وب (کنسرت) دسترسی پیدا کنند. اول، آنها باید برای دریافت یک توکن JWT، که به عنوان بلیط آنها برای درخواست های بعدی عمل می کند، “ورود به سیستم” وارد شوند. سپس، هر بار که سعی می کنند به مسیر محافظت شده دسترسی پیدا کنند، باید رمز خود را برای تأیید هویت خود ارائه دهند.

به یاد داشته باشید که این یک مثال ساده است و در یک برنامه واقعی باید رمزهای عبور را به صورت ایمن ذخیره کنید، خطاها را قوی تر مدیریت کنید و از HTTPS برای محافظت از اطلاعات ارسال شده استفاده کنید.🕹️

در اینجا یک نمونه احراز هویت دیگر است، این بار با استفاده از OAuth 2.0 با Beavis & Butthead، که در Python با کتابخانه پیاده سازی شده است. Flask y requests-oauthlib:
پایتون

from flask import Flask, redirect, request, session
from requests_oauthlib import OAuth2Session
app = Flask(__name__)
app.secret_key = 'supersecreto'
# Configuración del cliente OAuth
CLIENT_ID = 'tu_client_id'
CLIENT_SECRET = 'tu_client_secret'
AUTHORIZATION_BASE_URL = 'https://proveedor-oauth.com/auth'
TOKEN_URL = 'https://proveedor-oauth.com/token'
# Beavis y Butthead quieren acceder a su perfil de rockero
@app.route('/login')
def login():
    # Iniciamos el flujo de OAuth
    oauth = OAuth2Session(CLIENT_ID)
    authorization_url, state = oauth.authorization_url(AUTHORIZATION_BASE_URL)
    # Guardamos el estado en la sesión para la verificación posterior
    session['oauth_state'] = state
    return redirect(authorization_url)
# El proveedor OAuth redirige aquí después de la autenticación
@app.route('/callback')
def callback():
    # Obtenemos el token de acceso del proveedor OAuth
    oauth = OAuth2Session(CLIENT_ID, state=session['oauth_state'])
    token = oauth.fetch_token(TOKEN_URL, client_secret=CLIENT_SECRET,
                              authorization_response=request.url)
    # Guardamos el token en la sesión y redirigimos a la página de perfil
    session['oauth_token'] = token
    return redirect('/perfil')
# Página de perfil protegida, requiere autenticación
@app.route('/perfil')
def perfil():
    # Verificamos que el token esté en la sesión
    if 'oauth_token' not in session:
        return redirect('/login')
    # Obtenemos los datos del perfil del usuario autenticado
    oauth = OAuth2Session(CLIENT_ID, token=session['oauth_token'])
    perfil = oauth.get('https://proveedor-oauth.com/perfil').json()
    return f"Bienvenido, {perfil['nombre']}. ¡Estás listo para rockear!"
if __name__ == '__main__':
    app.run(debug=True)

در این مثال، Beavis & Butthead در حال تلاش برای دسترسی به پروفایل راکر در یک برنامه وب هستند. آنها از OAuth 2.0، یک پروتکل مجوز استاندارد استفاده می کنند که به آنها اجازه می دهد بدون اشتراک گذاری اعتبار دسترسی شما، به اطلاعات شما دسترسی داشته باشند.

بیویس: هی، باتهد، این OAuth چیست؟ Butthead: مثل زمانی است که از کسی می خواهید که به جای شما با نگهبان صحبت کند، بنابراین مجبور نیستید بلیط خود را به او بدهید.

وقتی Beavis & Butthead 👨🏼‍🎤 از مسیر بازدید کنید /login، جریان OAuth شروع می شود و برای احراز هویت به ارائه دهنده OAuth هدایت می شوند. پس از احراز هویت، ارائه‌دهنده آن‌ها را با کدی که با رمز دسترسی مبادله می‌شود، به برنامه بازگرداند. این توکن به آنها امکان دسترسی به مسیر را می دهد /perfil بدون نیاز به احراز هویت مجدد

امیدوارم این مثال به شما کمک کند تا بهتر بفهمید احراز هویت با OAuth 2.0 چگونه کار می کند.

درس های آموخته شده 👨🏻‍🏫

• احراز هویت وب برای محافظت از اطلاعات شخصی شما مهم است.
• نام کاربری و رمز عبور باید قوی باشد تا کسی نتواند آنها را حدس بزند.
• اشکال دیگری از احراز هویت وب مانند احراز هویت دو مرحله ای وجود دارد که حتی از امنیت بیشتری برخوردار هستند.
• ایجاد رمزهای عبور متفاوت برای هر وب سایت یا برنامه ای که استفاده می کنید بسیار مهم است.

و بس! احراز هویت در برنامه های وب به همین سادگی است. به یاد داشته باشید، همیشه باید از کوکی ها و دستبندهای خود محافظت کنید، هرگز نمی دانید چه کسی ممکن است آنها را بدزدد! 🤘

🚀 خوشت اومد؟ نظر خود را به اشتراک بگذارید
مقاله کامل، مراجعه کنید: https://lnkd.in/ewtCN2Mn
https://lnkd.in/eAjM_Smy 👩‍💻 https://lnkd.in/eKvu-BHe
https://dev.to/orlidev آن را از دست ندهید!

منابع:
تصاویر ایجاد شده با: Copilot (microsoft.com)

توسطUnMillonDeAmigos #LinkedIn #استخدام #توسعه نرم افزار #برنامه نویسی #شبکه #فناوری #استخدام #احراز هویت