🎰 🏂🏻 🛷 टैमिंग ट्रस्ट प्रोटोकॉल - इंटर सिस्टम के साथ OAuth प्रमाणीकरण IRIS 💂 🏕️ ▫️

सुरक्षा और गोपनीयता बनाए रखते हुए, कंप्यूटर को आपकी अनुपस्थिति में एक दूसरे पर भरोसा करने की अनुमति कैसे दें?

- सूखी मार्टिनी। एक बड़े गिलास में।
- औई, महाशय। [हां, महाशय (Fr.)]
"बस एक सेकंड, सभी नहीं।" गॉर्डन की तीन उंगलियां, वोडका की एक, किना लिक्लेट की आधी उंगली। एक प्रकार के बरतन में अच्छी तरह से मारो, और फिर नींबू का एक बड़ा टुकड़ा डाल दिया। क्या आपको याद है?

जान फ्लेमिंग, कैसीनो रोयाले, 1953

भाग 1. OAuth 2.0 और OpenID कनेक्ट कहानियां

यूनिवर्सल और, ऐसा लगता है, आज 21 वीं सदी में, खुले पहुंच प्रतिनिधि और प्रमाणीकरण प्रोटोकॉल के सभी के पसंदीदा समूह को OAuth + OIDC कहा जाता है। बड़े पैमाने पर उपयोग के लिए अब तक कुछ भी नहीं आया है। वे विशेष रूप से फ्रंट-एंड विक्रेताओं के साथ लोकप्रिय हैं क्योंकि वे HTTP (एस) प्रोटोकॉल के शीर्ष पर चलते हैं और जेडब्ल्यूटी ( जेएसएन वेब टोकन ) कंटेनर का उपयोग करते हैं। ओपनआईडी कनेक्ट अपने काम के लिए OAuth का उपयोग करता है या, दूसरे शब्दों में, OIDC OAuth के लिए एक आवरण है।

OpenID - प्रमाणीकरण के लिए एक खुला मानक और डिजिटल पहचान प्रणाली का निर्माण डेवलपर्स के लिए नया नहीं है। इस साल, वह 14 साल का हो गया। वर्तमान तीसरे संस्करण में, पूरा नाम OpenID कनेक्ट या OIDC से छोटा है। यह वेब और मोबाइल विकास, और कॉर्पोरेट सिस्टम दोनों में लोकप्रिय है।

उनका साथी, OAuth ओपन एक्सेस डेलिगेशन स्टैंडर्ड 12 साल का है। और इसी RFC 5849 मानक दिखाई देने के 9 साल बाद। हम OAuth 2.0 प्रोटोकॉल के आधुनिक संस्करण और वर्तमान RFC 6749 पर भरोसा करेंगे। याद रखें कि OAuth 2.0 अपने पूर्ववर्ती OAuth 1.0 के साथ संगत नहीं है।

OAuth पहुँच को प्रत्यायोजित करने के लिए एक खुला प्रोटोकॉल (योजना, परिवहन) है, जो RFC 6749 के लॉगिन और पासवर्ड को इसे (तीसरे पक्ष) को हस्तांतरित करने की आवश्यकता के बिना उपयोगकर्ता के संरक्षित संसाधनों तक सीमित पहुंच प्रदान करता है।

oauth.net , हारून पारेकी द्वारा होस्ट की गई प्रमुख OAuth वेबसाइट है

oauth.com - OAuth ट्यूटोरियल और टेस्ट पर्यावरण

ओपन आईडी कनेक्ट (OIDC) विकेन्द्रीकृत पहचान प्रणालियों के लिए एक खुला मानक है जो उपयोगकर्ता को तृतीय-पक्ष सेवाओं का उपयोग करके विभिन्न असंबंधित इंटरनेट संसाधनों की पहचान के लिए एकल खाता बनाने की अनुमति देता है, सुरक्षित संचार के लिए OAuth संदेशों और एक JWT कंटेनर का उपयोग करता है।

कड़ाई से बोलते हुए, OAuth एक प्रोटोकॉल नहीं है, लेकिन सॉफ़्टवेयर सिस्टम में एक्सेस कंट्रोल परिसीमन की वास्तुकला को लागू करते समय उपयोगकर्ता की पहचान के संचालन को एक अलग विश्वसनीय सर्वर को अलग करने और स्थानांतरित करने के लिए नियमों (योजना) का एक सेट है।

और, ध्यान, OAuth एक विशिष्ट उपयोगकर्ता के बारे में कुछ नहीं कह सकता है ! न तो वह कौन है, न ही वह अब कहां है, और न ही वह अभी कंप्यूटर पर काम करता है या नहीं। लेकिन फिर पहले से जारी टोकन का उपयोग करके, उपयोगकर्ता के हस्तक्षेप के बिना सिस्टम के साथ बातचीत करना संभव बनाता है। यह एक महत्वपूर्ण बिंदु है।

यह काम आ सकता है:

OAuth XACML विशेषता पहुंच विवरण भाषा के उपयोग के साथ पूरी तरह से जोड़ता है
OAuth उपयोगकर्ता-प्रबंधित पहुँच ( UMA ) पर भी निर्भर करता है

OAuth + OIDC + UMA का संयुक्त उपयोग उदाहरण के लिए, अलग-अलग विषय क्षेत्रों में सुरक्षित पहचान और अभिगम नियंत्रण (पहचान और पहुंच प्रबंधन - IdM, IAM) की प्रणालियों को लागू करने की अनुमति देता है:

दवा में रोगी के व्यक्तिगत डेटा की HEART (स्वास्थ्य संबंध ट्रस्ट) प्रोफ़ाइल का उपयोग करना
CIAM पर (कंज्यूमर आइडेंटिटी एंड एक्सेस मैनेजमेंट) कस्टमर आइडेंटिफिकेशन प्लेटफॉर्म फॉर मैन्युफैक्चरिंग एंड ट्रेडिंग कंपनियों
IoT (इंटरनेट ऑफ थिंग्स) सिस्टम में स्मार्ट उपकरणों के डिजिटल प्रमाणपत्र का निजीकरण

एपीआई अर्थव्यवस्था के लिए एक्सेस कंट्रोल का एक नया वेन

सबसे महत्वपूर्ण बात, बाकी सिस्टम की तरह एक ही स्थान पर व्यक्तिगत डेटा को स्टोर न करें। शारीरिक रूप से प्रमाणीकरण और प्राधिकरण को अलग करें। और इससे भी बेहतर - व्यक्ति को व्यक्तिगत रूप से सभी पहचान दें और इसे कभी भी अपने साथ न रखें। डिवाइस के मालिक पर भरोसा करें।

Apple ने कहा कि रूस में व्यक्तिगत डेटा रूस क्या संग्रहीत करता है। यह नाम, पता, ईमेल, फोन नंबर है। लेकिन संदेश, फोटो, आदि लोग खुद iCloud क्लाउड (जो रूस में नहीं है) पर भरोसा करते हैं।

भाग 2. लघु नाटक "ट्रस्ट एंड ऑथेंटिकेशन"

इसलिए, हमने फैसला किया कि यह हमारे प्रिय उपयोगकर्ताओं के निजी डेटा को न तो हमारे एप्लिकेशन में संग्रहीत करने के लिए il faut नहीं था, न ही एक कार्यशील डेटाबेस के साथ मिलकर एक ही स्टोरेज में। यही है, उन्होंने एक विश्वसनीय ट्रस्टी चुना है जो हमें यह सेवा प्रदान करेगा। और इसलिए, जब महामहिम उपयोगकर्ता प्रकट होता है, तो हम निम्नलिखित संवाद प्रदान करते हैं।

अभिनेता:

उपयोगकर्ता
ग्राहक आवेदन
पहचान सेवा
संसाधन सर्वर

कार्रवाई उपयोगकर्ता के कंप्यूटर पर एक ब्राउज़र में होती है। सभी पात्र लंबे समय से एक दूसरे से परिचित हैं। उपयोगकर्ता का पहचान सेवा पर एक व्यक्तिगत खाता है। क्लाइंट एप्लिकेशन के पास पहचान सेवा और पारस्परिक इंटरफेस के साथ एक हस्ताक्षरित वैध अनुबंध है। रिसोर्स सर्वर किसी भी पीड़ित को एक्सेस कुंजी जारी करने के मुद्दे में पहचान सेवा पर भरोसा करता है जिसे वह पहचान सकता है।

उपयोगकर्ता (P): (वेब-आधारित क्लाइंट एप्लिकेशन लॉन्च करके) प्रिय क्लाइंट-एप्लिकेशन, मुझे "इस संसाधन" की आवश्यकता है।
क्लाइंट एप्लिकेशन (K): प्रिय उपयोगकर्ता, पहले "इस संसाधन" की कुंजी प्रस्तुत करें। एक कुंजी के बिना, "यह संसाधन" तक पहुंच बंद है।
P: मैं ऐसी कोई चाबी नहीं है।
K: फिर मैं आपको अस्थायी रूप से एक पहचान सेवा में बदल दूंगा जिसके साथ हमारे पास संसाधन सर्वर की कुंजी जारी करने के लिए एक समझौता है। (पहचान सेवा के लिए पी। को पुनर्निर्देशित करता है)
पहचान सेवा (I): प्रिय उपयोगकर्ता, कृपया मुझे बताएं कि आप कौन हैं और आपको किन कुंजियों की आवश्यकता है?
P: I, Ytsuken उपयोगकर्ता उपयोगकर्ता, पासवर्ड ऐसा है और इस तरह, मैं "इस संसाधन" तक पहुंच प्राप्त करना चाहता हूं।
और: धन्यवाद, कॉमरेड जटसुकेन। प्रमाणीकरण सफल रहा और आपकी पहचान सत्यापित की गई। यहाँ "इस संसाधन" की कुंजी है (P. K. पर पुनर्निर्देशित करता है)
पी: ग्राहक, मैं आपको "संसाधन" की आवश्यकता के लिए लाया।
K: धन्यवाद उपयोगकर्ता। कुंजी सही है। यहां आपके द्वारा अनुरोध किया गया "संसाधन" है।

पर्दा। फिल्म "स्पेस ओडिसी ऑफ़ 2001" से रिचर्ड स्ट्रॉस की शुरुआती सिम्फनी चलती है

भाग 3. वास्तविक प्राधिकरण सेवा

अब चलो व्यापार के लिए नीचे उतरो। हमारे एजेंडे में तीन कार्य हैं: पात्रों को नियुक्त करना, मंच तैयार करना और नाटक खेलना। और सब कुछ एक बार में InterSystems IRIS प्लेटफ़ॉर्म पर तय किया जाता है। लेकिन यह आवश्यक नहीं है, आप अपने विवेक पर विभिन्न प्लेटफार्मों से एक डिजाइन को इकट्ठा कर सकते हैं। उदाहरण के लिए, इस संयोजन में: OAuth Keycloak सर्वर + OAuth क्लाइंट और IRIS पर OAuth संसाधन। दूसरे शब्दों में:

उस पर हमारे डेमो क्लाइंट के पंजीकरण के साथ OAuth सर्वर को कॉन्फ़िगर करें और लॉन्च करें।
इसे OAuth सर्वर और वेब संसाधनों से जोड़कर एक डेमो OAuth क्लाइंट सेट करें।
ग्राहक एप्लिकेशन विकसित करें जो OAuth का उपयोग कर सकते हैं। आप Java, Python, C #, NodeJS का उपयोग कर सकते हैं। ऑब्जेक्टस्क्रिप्ट में निम्न नमूना अनुप्रयोग कोड है।

डेवलपर समुदाय की वेबसाइट पर सीएसपी ( भाग 1 , भाग 2 , भाग 3 ) पर आधारित विभिन्न अनुप्रयोगों के लिए आईआरआईएस में OAuth का उपयोग करने के उदाहरणों के साथ तीन भागों में डैनियल कुटाक द्वारा एक विस्तृत निर्देश है।

OAuth में बहुत सारी सेटिंग्स हैं। इसलिए, अपने आप को चेकलिस्ट्स लिखें - यह उनके लिए सबसे सही आवेदन है। नीचे उदाहरण और रिक्त स्थान।

नमूने के लिए तैयार किए गए इंटरसिस्टम आईआरआईएस कहां से प्राप्त करें? सभी के लिए कम से कम दो विकल्प उपलब्ध हैं:

InterSystems Learning Services Labs अनुभाग में InterSystems Learning Services Training platform पर तैयार-पूर्व-कॉन्फ़िगर क्लाउड IRIS सर्वर प्राप्त करें।

एक तैयार किए गए डॉकटर कंटेनर को स्थापित करें। लेख में और पढ़ें - डॉकर डेवलपर्स का उपयोग करके IRIS लॉन्च करने वाले शुरुआती लोगों के लिए एक कदम-दर-चरण निर्देश या, जो एक वीडियो को पसंद करते हैं, इंटरसिस्टम IRIS के साथ डॉक्युमेंट्स और VSCode का उपयोग करके समाधान विकसित करने का एक नया निर्देश

1-1 OAuth सर्वर को कॉन्फ़िगर करना

हम आईआरआईएस प्रबंधन पोर्टल में जाते हैं और अनुभाग का चयन करते हैं:

सिस्टम प्रशासन >> सुरक्षा >> OAuth 2.0 >> सर्वर

अगला, प्रत्येक पैराग्राफ में, सेटिंग लाइन के लिए एक नाम होगा और, यदि आवश्यक हो तो कोलोन के माध्यम से एक उदाहरण या स्पष्टीकरण।

सामान्य सेटिंग्स टैब:
विवरण: वैकल्पिक, उदाहरण के लिए, इसलिए "प्राधिकरण सर्वर"
जनरेटर एंडपॉइंट (इसके बाद CTG) होस्ट नाम है: आपके सर्वर का DNS नाम
समर्थित अनुमति प्रकार (कम से कम एक का चयन करें):
प्राधिकरण कोड
अंतर्निहित
क्रेडेंशियल: संसाधन, स्वामी, पासवर्ड
ग्राहक साख
एसएसएल / टीएलएस कॉन्फ़िगरेशन: ऑउथेस्वर

अनुमतियाँ टैब:
समर्थित वॉल्यूम जोड़ें: उदा। स्कोप 1 और स्कोप 2

अंतराल टैब:
एक्सेस कुंजी अंतराल: 3600
प्राधिकरण कोड अंतराल: 60
अद्यतन कुंजी अंतराल: 86400
सत्र बाधित अंतराल: 86400
ग्राहक कुंजी वैधता अवधि: 0

JWT सेटिंग्स टैब:
इनपुट एल्गोरिथम: RS512
मुख्य प्रबंधन एल्गोरिथ्म: RSA-OAEP
सामग्री एन्क्रिप्शन एल्गोरिथम: A256CBC-HS512

अनुरूपण टैब:
कक्षा की पहचान करें:% OAuth2.Server.Authenticate
उपयोगकर्ता वर्ग की जाँच करें:% OAuth2.Server.Validate
सत्र सेवा वर्ग: OAuth2.Server.Session
मुख्य वर्ग उत्पन्न करें:% OAuth2.Server.JWT
अनुकूलन नामस्थान:% SYS
अनुकूलन भूमिकाएँ (कम से कम एक का चयन करें):% DB_IRISSYS और% प्रबंधक

सहेजें।

1-2 ग्राहक को OAuth सर्वर पर पंजीकृत करें

ग्राहक विवरण बटन >> ग्राहक विवरण बटन बनाएँ:

सामान्य सेटिंग्स टैब:
नाम: CLIENT
विवरण: मनमाना
क्लाइंट प्रकार: गोपनीय
रीडायरेक्ट URL: प्रमाणीकरण के बाद हमारे आवेदन में वापसी बिंदु पता
समर्थित अनुमति प्रकार
प्राधिकरण कोड: हाँ
अंतर्निहित
क्रेडेंशियल: संसाधन, स्वामी, पासवर्ड
ग्राहक साख
JWT प्राधिकरण
समर्थित उत्तर प्रकार
कोड
id_token
id_token कुंजी
टोकन
प्राधिकरण प्रकार: सरल

क्लाइंट क्रेडेंशियल टैब: स्वचालित रूप से भरा हुआ

ग्राहक जानकारी टैब:
URL लॉन्च करें:
लॉगिन स्क्रीन
ग्राहक का नाम
लोगो url
क्लाइंट होम पेज URL
नीति url
सेवा URL नियम

2-1 OAuth सर्वर क्लाइंट पर बाइंडिंग कॉन्फ़िगर करना

सिस्टम प्रशासन >> सुरक्षा >> OAuth 2.0 >> क्लाइंट

एक सर्वर विवरण बनाएँ:
जनरेटर एंडपॉइंट: सामान्य सर्वर मापदंडों से लें, ऊपर देखें
एसएसएल / टीएलएस कॉन्फ़िगरेशन: पूर्व-कॉन्फ़िगर की सूची से चयन करें

शेष फ़ील्ड की सामग्री स्वचालित रूप से सर्वर से डाउनलोड की जाएगी, लेकिन आप उन्हें मैन्युअल रूप से कॉन्फ़िगर भी कर सकते हैं:

प्राधिकरण सर्वर
प्राधिकरण समापन बिंदु: CTG + / अधिकृत करें
मुख्य समापन बिंदु: CTG + / टोकन
उपयोगकर्ता सूचना समापन बिंदु: CTG + / userinfo
मुख्य आत्म निदान समापन बिंदु: CTG + / निरसन
प्रमुख निरसन समापन बिंदु: CTG + / आत्मनिरीक्षण
JSON वेब टोकन सेटिंग्स (JWT)
डायनामिक पंजीकरण के अलावा अन्य स्रोत: URL से JWKS का चयन करें
URL: CTG + / jwks

इस सूची से, उदाहरण के लिए, यह देखा जा सकता है (scopes_supported और दावे_ असमर्थित) कि सर्वर उपयोगकर्ता के बारे में विभिन्न जानकारी के साथ OAuth क्लाइंट प्रदान कर सकता है। और यह ध्यान देने योग्य है कि आपके आवेदन को लागू करते समय, आपको उपयोगकर्ता से पूछना होगा कि वह किस डेटा को साझा करने के लिए तैयार है। इसके अलावा, हमारे उदाहरण में, हमें केवल स्कोप 1 द्वारा अनुमति मांगी जाएगी।

सहेजें।

यदि एसएसएल को इंगित करने में कोई त्रुटि है, तो सेटिंग्स पर जाएं:
सिस्टम एडमिनिस्ट्रेशन >> सुरक्षा >> एसएसएल / टीएसएल कॉन्फ़िगरेशन

2-2 OAuth क्लाइंट को कॉन्फ़िगर करना

सिस्टम प्रशासन >> सुरक्षा >> OAuth 2.0 >> क्लाइंट >> क्लाइंट कॉन्फ़िगरेशन >> क्लाइंट कॉन्फ़िगरेशन बनाएँ

सामान्य टैब:
आवेदन का नाम: डेमो क्लाइंट
क्लाइंट का नाम: डेमो क्लाइंट
विवरण: वैकल्पिक
सक्षम: हाँ
क्लाइंट प्रकार: गोपनीय
एसएसएल / टीसीएल कॉन्फ़िगरेशन: ऑउथक्लिएंट
क्लाइंट रीडायरेक्ट URL: आपके सर्वर का DNS नाम
आवश्यक अनुमति प्रकार
प्राधिकरण कोड: हाँ
अंतर्निहित
क्रेडेंशियल: संसाधन, स्वामी, पासवर्ड
ग्राहक साख
JWT प्राधिकरण
प्राधिकरण प्रकार: सरल

ग्राहक जानकारी टैब:
लॉगिन स्क्रीन
लोगो url
क्लाइंट होम पेज URL
नीति url
सेवा URL नियम
डिफ़ॉल्ट वॉल्यूम: हम सर्वर पर पहले निर्दिष्ट लोगों से लेते हैं, उदाहरण के लिए, स्कोप 1
संपर्क ईमेल पते (अल्पविराम द्वारा अलग)
अधिकतम डिफ़ॉल्ट आयु (सेकंड में)

JWT सेटिंग्स टैब:
JSON वेब टोकन सेटिंग्स (JWT)
X509 क्रेडेंशियल से JWT सेटिंग्स बनाना
IDToken एल्गोरिदम
हस्ताक्षर: RS256
एन्क्रिप्शन: A256CBC
कुंजी: RSA-OAEP
Userinfo एल्गोरिदम
टोकन एल्गोरिदम तक पहुंचें
क्वेरी एल्गोरिदम

ग्राहक साख टैब:
आईडी। क्लाइंट: सर्वर पर क्लाइंट के पंजीकरण पर जारी किए गए एक से (ऊपर देखें)
ग्राहक आईडी जारी की
क्लाइंट का रहस्य: सर्वर पर क्लाइंट को पंजीकृत करते समय जारी किए गए एक से (ऊपर देखें)
ग्राहक रहस्य की समय सीमा समाप्त हो रही है
ग्राहक पंजीकरण यू.आर.आई.

सहेजें।

भाग 4. संहिता

आइए OAuth प्राधिकरण और REST के साथ एक न्यूनतर वेब एप्लिकेशन बनाएं।

काम करते समय, OAuth इस तथ्य पर निर्भर करता है कि सहभागिता (सर्वर, क्लाइंट, वेब एप्लिकेशन, उपयोगकर्ता ब्राउज़र, संसाधन सर्वर) में प्रतिभागियों के बीच संचार चैनल किसी तरह सुरक्षित हैं। अधिकतर, यह भूमिका एसएसएल / टीएलएस द्वारा निभाई जाती है। लेकिन OAuth असुरक्षित चैनलों पर भी काम करेगा। उदाहरण के लिए, कुंजीलोक सर्वर, डिफ़ॉल्ट रूप से, HTTP प्रोटोकॉल का उपयोग करता है और बिना सुरक्षा के चलता है। यह विकास को सरल बनाता है और विकास के दौरान डिबगिंग करता है। OAuth सेवाओं के वास्तविक उपयोग के साथ, चैनल सुरक्षा को सख्ती से सक्षम किया जाना चाहिए - यह कीक्लॉक प्रलेखन में दर्ज है। InterSystems आईआरआईएस डेवलपर्स OAuth के लिए अधिक कठोर दृष्टिकोण लेते हैं - एसएसएल / टीएसएल की आवश्यकता होती है। एकमात्र सरलीकरण यह है कि आप स्व-हस्ताक्षरित प्रमाणपत्र का उपयोग कर सकते हैं या आईआरआईएस (सिस्टम एडमिनिस्ट्रेशन >> सुरक्षा >> सार्वजनिक कुंजी) में निर्मित पीकेआई सेवा का उपयोग कर सकते हैं।

उपयोगकर्ता प्राधिकरण को दो मापदंडों के स्पष्ट संकेत के साथ जांचा जाता है - आपके एप्लिकेशन का नाम और OAuth सर्वर द्वारा समर्थित वॉल्यूम और OAuth क्लाइंट (गुंजाइश - मुझे आश्चर्य है कि इसे रूसी में सही ढंग से कैसे नाम दिया जाए?)

Parameter OAUTH2APPNAME = "OAuthClient"; set isAuthorized = ##class(%SYS.OAuth2.AccessToken).IsAuthorized( ..#OAUTH2APPNAME, .sessionId, "scope1", .accessToken, .idtoken, .responseProperties, .error)

प्राधिकरण की अनुपस्थिति में, हम उपयोगकर्ता पहचान के लिए एक अनुरोध के लिए एक लिंक तैयार कर रहे हैं और हमारे आवेदन के साथ काम करने के लिए उससे अनुमति प्राप्त कर रहे हैं। यहां हमें OAuth सर्वर पर और OAuth क्लाइंट में पंजीकृत न केवल आवेदन नाम और अनुरोधित वॉल्यूम (गुंजाइश) को निर्दिष्ट करने की आवश्यकता है, बल्कि यह भी एक बैक लिंक है कि किस बिंदु पर वेब एप्लिकेशन को उपयोगकर्ता को वापस करना चाहिए।

 Parameter OAUTH2CLIENTREDIRECTURI = "https://52773b-76230063.labs.learning.intersystems.com/oauthclient/" set url = ##class(%SYS.OAuth2.Authorization).GetAuthorizationCodeEndpoint( ..#OAUTH2APPNAME, "scope1", ..#OAUTH2CLIENTREDIRECTURI, .properties, .isAuthorized, .sc)

हम अंतर्निहित IRIS प्रमाणीकरण सेवा का उपयोग करते हैं और तदनुसार, हम उपयोगकर्ताओं को OAuth IRIS सर्वर पर पंजीकृत करते हैं। एक उदाहरण के लिए, उपयोगकर्ता को केवल एक उपयोगकर्ता नाम और पासवर्ड सेट करने के लिए पर्याप्त है, आपको खाते में अन्य सेटिंग्स करने की आवश्यकता नहीं होगी।

प्राप्त लिंक का उपयोग करके उपयोगकर्ता को स्थानांतरित करते समय, सर्वर उपयोगकर्ता पहचान प्रक्रिया को अंजाम देगा और वेब एप्लिकेशन में क्रेडेंशियल्स के साथ काम करने के लिए उससे अनुमति का अनुरोध करेगा, और परिणाम को अपने OAuth2.Server.Session ग्लोबल में% SYP क्षेत्र में भी बचाएगा:

3. अधिकृत उपयोगकर्ता के डेटा का प्रदर्शन। प्रक्रियाओं के सफल समापन पर, हमारे पास, उदाहरण के लिए, एक पहुंच टोकन। आइए इसे प्राप्त करें:

 set valid = ##class(%SYS.OAuth2.Validation).ValidateJWT( .#OAUTH2APPNAME, accessToken, "scope1", .aud, .JWTJsonObject, .securityParameters, .sc )

OAuth के साथ काम करने के उदाहरण का पूर्ण कार्य कोड:

 Class OAuthClient.REST Extends %CSP.REST { Parameter OAUTH2APPNAME = "OAuthClient"; Parameter OAUTH2CLIENTREDIRECTURI = "https://52773b-76230063.labs.learning.intersystems.com/oauthclient/"; // to keep sessionId Parameter UseSession As Integer = 1; XData UrlMap [ XMLNamespace = "http://www.intersystems.com/urlmap" ] { <Routes> <Route Method="GET" Url = "/" Call = "Do" /> </Routes> } ClassMethod Do() As %Status { // Check for accessToken set isAuthorized = ##class(%SYS.OAuth2.AccessToken).IsAuthorized( ..#OAUTH2APPNAME, .sessionId, "scope1", .accessToken, .idtoken, .responseProperties, .error) // to show accessToken if isAuthorized { set valid = ##class(%SYS.OAuth2.Validation).ValidateJWT( ..#OAUTH2APPNAME, accessToken, "scope1", .aud, .JWTJsonObject, .securityParameters, .sc ) &html< Hello!<br> > w "You access token = ", JWTJsonObject.%ToJSON() &html< </html> > quit $$$OK } // perform the process of user and client identification and get accessToken set url = ##class(%SYS.OAuth2.Authorization).GetAuthorizationCodeEndpoint( ..#OAUTH2APPNAME, "scope1", ..#OAUTH2CLIENTREDIRECTURI, .properties, .isAuthorized, .sc) if $$$ISERR(sc) { w "error handling here" quit $$$OK } // url magic correction: change slashes in the query parameter to its code set urlBase = $PIECE(url, "?") set urlQuery = $PIECE(url, "?", 2) set urlQuery = $REPLACE(urlQuery, "/", "%2F") set url = urlBase _ "?" _ urlQuery &html< <html> <h1>  IRIS   OAuth2</h1> <a href = "#(url)#">  <b>IRIS</b></a> </html> > quit $$$OK } }

यदि आवश्यक हो, तो OAuth सर्वर और OAuth क्लाइंट पर विस्तारित डीबगिंग संदेश सक्षम करें। % SYS क्षेत्र में ISCLOG वैश्विक को संदेश लिखे गए हैं। अपने आईआरआईएस टर्मिनल में टाइप करें (या वेब टर्मिनल को स्थापित और उपयोग करें):

 set ^%ISCLOG = 5 set ^%ISCLOG("Category", "OAuth2") = 5 set ^%ISCLOG("Category", "OAuth2Server") = 5

अधिक जानकारी के लिए OAuth 2.0 और OpenID कनेक्ट का उपयोग करके IRIS प्रलेखन देखें।

निष्कर्ष:

OAuth शारीरिक और भौगोलिक रूप से अलग-अलग सेवाओं को उपयोगकर्ता क्रेडेंशियल्स और "वर्किंग" डेटाबेस के साथ मदद करता है। और, इसलिए, पहचान डेटा की सुरक्षा को मजबूत करें और यदि आवश्यक हो, तो विभिन्न देशों के व्यक्तिगत डेटा की सुरक्षा पर कानूनों की आवश्यकताओं का पालन करें।
OAuth का उपयोग करते हुए, उपयोगकर्ता को एक ही समय में कई उपकरणों से सुरक्षित रूप से काम करने का अवसर दिया जा सकता है और अपने व्यक्तिगत डेटा को न्यूनतम रूप से विभिन्न सेवाओं और अनुप्रयोगों में "चमक" सकता है। साथ ही अपनी सेवाओं पर उपयोगकर्ताओं के बारे में "निरर्थक" जानकारी नहीं ले रहा है, अर्थात्, उनकी सेवाओं में डेटा प्रसंस्करण का उपयोग करने के लिए।
InterSystems IRIS का उपयोग करते समय, आपके पास OAuth और OIDC सेवाओं को स्टैंड-अलोन और तृतीय-पक्ष सॉफ़्टवेयर उत्पादों के साथ सहयोग के परीक्षण के लिए तैयार उपकरणों का एक पूरा सेट है।

इंटरसिस्टम आईआरआईएस प्लेटफॉर्म का उपयोग करने वाले कौन से उद्योग सबसे अधिक हैं?
हेल्थकेयर ऑटोमेशन के लिए, वित्तीय क्षेत्र में, ई-सरकारी परियोजनाओं के लिए, लॉजिस्टिक्स, रिटेल और कई अन्य उद्योगों में।

यदि आप स्वास्थ्य सेवा स्वचालन के कार्यों में रुचि रखते हैं, तो FHIR मानक पर ध्यान दें। InterSystems IRIS स्वास्थ्य के लिए (InterSystems IRIS मंच का एक विशेष संस्करण) एकीकरण और अनुप्रयोग विकास के लिए FHIR मानक का समर्थन करता है

जैसा कि आप ऊपर देख सकते हैं, सभी OAuth सुविधाएँ आसानी से सुलभ हैं और उपयोग करने के लिए पूरी तरह से तैयार हैं। यदि आवश्यक हो, तो आप हैंडलर वर्गों और उपयोगकर्ता इंटरफ़ेस को अपने स्वयं के साथ बदल सकते हैं। OAuth सर्वर और क्लाइंट सेटिंग्स को प्रबंधन पोर्टल का उपयोग करने के बजाय कॉन्फ़िगरेशन फ़ाइलों से बनाया जा सकता है।

टैमिंग ट्रस्ट प्रोटोकॉल - इंटर सिस्टम के साथ OAuth प्रमाणीकरण IRIS