Как легко настроить аутентификацию для нескольких доменов в Kubernetes: Deckhouse Kubernetes Platform

В статье описывается новый подход к настройке аутентификации для нескольких доменов с помощью DexAuthenticator в Deckhouse Kubernetes Platform. Узнайте, как одно решение заменяет сотни объектов, экономит ресурсы и делает управление безопасностью проще.

https://habr.com/ru/companies/flant/articles/891846/

The @w3c Federated Identity #WorkingGroup aims to create specs for secure, #privacy friendly, and user-controlled #authentication and credential presentation
https://www.w3.org/groups/wg/fedid/

Their updated charter introduces the Digital Credentials #API, which facilitates user agents in managing access to and presenting digital #credentials, such as a driver's license, government-issued ID, or other forms of digital credentials.

Find out more about this work by @sphcow: https://youtu.be/GI3UTZJ0Ue4

New Kitten release

• Fixes redirection from sign-in page when person is already authenticated.

https://kitten.small-web.org

To learn more about how Kitten automatically implements authentication for your Small Web sites and apps using public-key cryptography (so even your own server doesn’t know your secret)¹, please see the Authentication tutorial:

https://kitten.small-web.org/tutorials/authentication/

Enjoy!

¹ The security (and privacy) of Domain/Kitten are based on a 32-byte cryptographically random secret string that only the person who owns/controls a domain knows.

This is basically a Base256-encoded ed25519 secret key where the Base256 alphabet is a set of curated emoji surrogate pairs without any special modifiers chosen mainly from the animals, plants, and food groups with some exceptions (to avoid common phobias or triggers, etc.) that we call KittenMoji.

…

When setting up a Small Web app via Domain, this key is generated in the person’s browser, on their own computer, and is never communicated to either the Domain instance or the Kitten app being installed. Instead the ed25519 public key is sent to both and signed token authentication is used when the server needs to verify the owner’s identity (e.g., before allowing access to the administration area).

The expected/encouraged behaviour is for the person to store this secret in their password manager of choice.

More: https://kitten.small-web.org/reference/#cryptographic-properties

Используем API Key и JWT Bearer аутентификацию вместе в ASP.NET Core Web API

Я расскажу, как реализовать аутентификацию с использованием как JWT, так и API-ключа на одном и том же endpoint в ASP.NET Core Web API. Совмещение этих схем аутентификации полезно, если вы хотите использовать токен JWT Bearer для аутентификации пользователей и API-ключ для аутентификации между сервисами.

https://habr.com/ru/articles/879424/

API Key Authentication в ASP.NET Core Web Api

Недавно я столкнулся с задачей реализации аутентификации с использованием API Key в ASP.NET Core Web API. Хотя многие авторы рекомендуют использовать IAuthorizationFilter для этой цели, я обнаружил, что это не самый подходящий вариант. У меня есть более удачный подход, которым я хотел бы поделиться, включая примеры. Реализация была протестирована как в .NET 8, так и в .NET 9.

https://habr.com/ru/articles/877302/

Spring Security + Telegram Authentication

Spring Security + Telegram Auth Добавить Telegram Auth в Spring Boot приложение оказалось сложнее, чем я ожидал — подробных руководств практически нет. После нескольких дней экспериментов я создал рабочее решение, которое вы легко сможете адаптировать под свои задачи. В этой статье я покажу, как настроить авторизацию через Telegram, интегрировать ее с базой данных и Spring Security, а также протестировать как локально, так и на сервере Подробнее

https://habr.com/ru/articles/873786/

Волшебные ссылки теперь в Spring Security

Концепция волшебных ссылок (magic link) далеко не нова, однако долгое время у разработчиков не было надежного решения с полноценным комьюнити, которое позволяло бы быстро и просто реализовывать волшебные ссылки в своих приложениях. И вот, наконец, такая фича появилась в spring security. Давайте подробно разберем что у нас получилось, какие проблемы остались, и что планируется реализовать.

https://habr.com/ru/articles/872240/

Аутентификация через mail.ru в OpenAM

Mail.ru - один из самых популярных сервисов электронной почты в России. Ежемесячная аудитория составляет более 50 млн пользователей. В данной статье мы настроим вход в OpenAM , используя учетные данные в mail.ru по протоколу OAuth 2.0.

https://habr.com/ru/articles/869574/

Виды аутентификации для современных веб-приложений

Рост популярности веб-приложений в современных технологиях значительно изменил способы взаимодействия пользователей с цифровыми сервисами. Однако с этим увеличением цифровой зависимости возникает и повышенная потребность в надежных механизмах безопасности, особенно в части аутентификации пользователей. Аутентификация служит ключевым элементом защиты пользовательских данных и предотвращения несанкционированного доступа к конфиденциальной информации. В этом контексте важно понимать разнообразие методов аутентификации, доступных для разработчиков и администраторов, а также способы их применения для минимизации рисков и улучшения пользовательского опыта. В данной статье рассматриваются различные методы аутентификации, используемые в современных веб-приложениях, с акцентом на их механизмы, преимущества и потенциальные уязвимости. Понимание этих методов поможет разработчикам принять обоснованное решение о защите как их приложений, так и пользователей. Давайте уточним терминологию: Идентификация – процесс установления личности пользователя или системы, при котором субъекта идентифицируют по уникальным данным (например, имени, электронной почте или номеру телефона). Идентификация отвечает на вопрос "Кто вы?" . Аутентификация – процесс проверки подлинности данных, предоставленных для идентификации, с целью подтверждения, что тот, кто утверждает себя как определенный субъект, действительно является им. Аутентификация отвечает на вопрос "Вы тот, за кого себя выдаете?" . Например, ввод пароля или использование биометрии.

https://habr.com/ru/articles/866378/

Аутентификация через Одноклассники в OpenAM

OpenAM умеет аутентифицировать пользователей через различных OAuth 2.0 провайдеров. И Одноклассники не исключение. Пусть этот сервис не пользуется большой популярностью среди близких к IT людям, но им могут пользоваться большинство ваших клиентов. Поэтому в данной статье мы настроим вход через этот сервис.

https://habr.com/ru/articles/862258/

Pinniped как способ логина в Kubernetes через Active Directory

Многие пользователи Яндекс облака применяют сервис Managed Service for Kubernetes. При этом учетные записи сотрудников организаций хранятся на контроллерах домена Windows. Удобно и правильно логиниться в Kubernetes учетными записями из Windows-домена, оптимизируя ресурсы DevOps и сисадминов. Но без специального инструмента сделать это нельзя. Меня зовут Дмитрий Глушков, я системный инженер эксплуатации в Lamoda Tech. Мои поиски удобного решения задачи привели к программе Pinniped. Она поможет использовать учетные записи Windows AD для предоставления и контроля доступа сотрудников в Kubernetes. Разберемся, как ее установить и использовать.

https://habr.com/ru/companies/lamoda/articles/846000/

Как работает интернет

Если вы полный ноль в интернет-технологиях, и хотите получить общее понимание Интернета, прочитав всего одну статью, то эта статья - для вас. Здесь вы узнаете о 4 уровнях модели TCP/IP. О том, что такое MAC-адрес и IP-адрес, и зачем нам 2 типа цифровых адресов. Как работает DNS. Зачем нужны коммутаторы и роутеры. Как работает NAT. Как устанавливается защищённое соединение. Что такое инфраструктура открытых ключей, и зачем нужны TLS-сертификаты. Чем отличаются три версии протокола HTTP. Как происходит HTTP-аутентификация. И в конце будет несколько слов о VPN.

https://habr.com/ru/articles/840116/

#интернет #роутер #коммутатор #tcp/ip #dns #nat #tls #http #authentication #vpn

Практическая реализация современной аутентификации на платформе .NET: OpenID Connect, шаблон BFF и SPA

Построение современной и надежной системы аутентификации — задача, которая требует тщательного подхода. В огромном количестве информации легко запутаться: многие материалы представлены в неструктурированном виде, а часть из них и вовсе описывает устаревшие или даже небезопасные в настоящее время методы и подходы. К тому же каноническое описание шаблона Backend-For-Frontend (BFF) довольно абстрактно и вызывает сложности в практической реализации у многих разработчиков. Это подтолкнуло меня создать подробное и максимально доступное руководство, посвященное реализации современного подхода к аутентификации на платформе .NET с использованием OpenID Connect, архитектурного шаблона Backend-For-Frontend (BFF) и распределению ответственности между одностраничным приложением (SPA) на React и серверным API. В статье рассматриваются ключевые аспекты настройки аутентификации, такие как использование потока Authorization Code с Proof Key for Code Exchange (PKCE) и интеграция его с одностраничными приложениями (SPA) на React. Приведены примеры на базе .NET и React, включающие пошаговые инструкции по настройке клиента OpenID Connect и BFF, а также демонстрируется использование библиотеки YARP для проксирования запросов к внешним API. В результате выполнения инструкций вы самостоятельно создадите полнофункциональное приложение с безопасной аутентификацией и надежным взаимодействием с внешними сервисами и разберетесь в его внутреннем устройстве и взаимодействии с другими сервисами.

https://habr.com/ru/articles/839530/

#openidconnect #oidc #bff #spa #net #authentication #architecture #c# #react #oauth2

Введение в Identity Management с OpenIDM

В этой статье мы рассмотрим, что такое Identity Management (IDM) и его основные задачи. А так же рассмотрим решение нескольких типовых задач Identity Management и использованием продукта с открытым исходным кодом OpenIDM . В конце статьи будет обзор основных возможностей OpenIDM.

https://habr.com/ru/articles/834166/

[Перевод] Настройка аутентификации с одноразовым паролем в OpenAM

Аутентификация с паролем является, пожалуй, самым распространенным методом аутентификации. Но она не является достаточной надежной. Часто пользователи используют простые пароли или используют один и тот же пароль для разных сервисов. Таким образом пароль пользователя может быть скомпрометирован. Для увеличения безопасности в процесс аутентификации добавляют второй фактор. (Two Factor Authentication, 2FA). Второй фактор в аутентификации это дополнительный уровень защиты учетной записи. Помимо логина и пароля для аутентификации нужно ввести код из SMS, ввести биометрические данные, использовать аппаратный токен и так далее. Таким образом, даже если пароль учетной записи будет скомпрометирован, злоумышленник не сможет получит доступ к учетной записи, т.к. при аутентификации требуется пройти еще один уровень защиты. В данной статье мы настроим аутентификацию в OpenAM с использованием одноразовых кодов, сгенерированных от времени - Time-based One-Time Password Algorithm (TOTP, RFC 6238 ).

https://habr.com/ru/articles/825306/

[Перевод] Как защитить WebSocket соединение при помощи OpenAM и OpenIG

Данная статья является продолжением предыдущей статьи How to Add Authorization and Protect Your Application With OpenAM and OpenIG Stack . Предыдущая статья описывала, как защитить конечные точки приложение, работающие по стандартному HTTP протоколу. В этой статье мы добавим авторизацию на WebSocket соединение через OpenIG, используя аутентификацию OpenAM. Для упрощения установки и развертывания сервисов, мы будем использовать Docker и Docker Compose.

https://habr.com/ru/articles/823872/

[Перевод] Как защитить веб сервисы при помощи шлюза OpenIG

Обеспечение безопасности веб сервисов — одна из важных частей процесса разработки. Если если в инфраструктуре несколько сервисов, то каждый из них должен быть должным образом защищен. Если реализовывать проверки политик безопасности в каждом сервисе, то затраты на разработку и поддержку таких сервисов существенно возрастают. При этом не избежать дублирования кода и ошибок разработки. Поэтому, управление защитой сервисов должно быть централизованным. Далее мы рассмотрим, как организовать централизованную защиту приложений на примере API-шлюза с открытым исходным кодом OpenIG , а так же добавим проверку авторизации доступа с JWT токеном Исходный код для статьи https://github.com/maximthomas/openig-protect-ws/

https://habr.com/ru/articles/823212/

Первый год в Rust — история любви

Много лет назад я учился в Политехническом университете и уже думал о том, чем хочу заниматься, но не знал, чем именно. Поковырялся в html, css и js, написал несколько простых телеграм-ботов на питоне (с тех пор они канули в Лету), потом сделал то же самое на Java. Я много чего успел сделать, но видел, что стою жестко на одном месте, застрял в учебном аду, а работа в лаборатории не получается, поэтому синдром самозванца взял надо мной верх и я работал в службе поддержки клиентов. Но во время пандемии 2020 года я оказался в информационном поле Linux и с тех пор сильно вник в Linux. В этом году ради общности и системности, чтобы делать задачи, а не придумывать их, потому что та или иная ответственность, я искал «веб-разработку для начинающих» и нашел наставника. Сначала мы обсуждали варианты реактивного кодирования, но затем наставник спросил, что меня интересует, и я сказал, что в целом интересуюсь разработкой программного обеспечения, а мысли о ржавчине/++ отложил в долгий ящик. Итак, я начал писать Rust для проекта Retina в Norcivilian Labs. Retina — сервис для выявления на изображениях ретинопатии — заболевания глаз. Бэкенд, на котором работает сверточная нейронная сеть, уже реализован, но мы пишем для него десктопный и мобильный клиент. Сначала мы работали с Nix и Linux. Для того, чтобы начать участвовать в проекте, нам нужно было всё настроить. Я установил NixOS, настроил его и зарегистрировался в нашем проекте на GitLab. Мы сразу же столкнулись с ошибками и добавили сопоставление с образцом в Nix flake для запуска оболочки кроссплатформенной разработки.

https://habr.com/ru/articles/818813/

[Перевод] Настройка аутентификации по протоколу WebAuthn в OpenAM

WebAuthn - протокол, разработанный консорциумом W3C и FIDO Alliance для аутентификации без паролей. Используя WebAuthn, можно аутентифицироваться, используя биометрию мобильного телефона или ноутбука. Можно так же использовать аутентификацию при помощи аппаратных USB токенов. В данной статье мы настроим вход по протоколу WebAuthn в системе управления аутентификацией с открытым исходным кодом - OpenAM

https://habr.com/ru/articles/816475/

[Перевод] Настройка Kerberos аутентификации в OpenAM

В корпоративном среде пользователи используют, как правило несколько приложений. И в каждом приложении в корпоративной среде необходимо аутентифицироваться. Конечно, можно создавать для каждого приложения свою учетную запись. Но такой подход неудобен и для администраторов системы и для пользователей. Гораздо удобнее входить в приложение под пользователем, который уже аутентифицирован в операционной системе. Для пользователей в домене Windows - таким решением является протокол Kerberos .

https://habr.com/ru/articles/809983/