В чем отличие SSO от OAuth? Плюсы и минусы. Что и как выбрать? Безопасность и лучшие практики аутентификации. Как реализовать прозрачный “log-in” без редиректов: особенности кросс-доменного общения.

1. Company Name
Your company tagline

2. SSO (Single Sign On)
SSO (Single Sign-On) — технология, при использовании
которой пользователь переходит из одного раздела
портала в другой без повторной аутентификации.
©Wikipedia

4. Нужна авторизация!

5. Нужна авторизация!

8. Нужно больше сайтов!!!

9. Нужно еще больше сайтов!!!

12. Проблемы
1. Каждый раз заполнять профиль
2. При изменении данных менять везде.
3. Отдельный логин на разных сайтах
(напрягает)
4. Отдельный логаут на разных сайтах
(безопасность)

13. Аналитика
1. Показывать активность пользователей
2. Кросс-сейл
3. И чтобы всё красиво и в админке :)

14. Синхронизация данных
1. Логин?
2. Email?
3. Логин через различные соцсети.
4. GAUID - ID пользователя в базе.

15. Что делать?

16. Один сайт? Нет, серьезно!

18. SSO спешит на помошь!

19. Почти как
микросервисы

22. OAuth
OAuth — открытый протокол авторизации, который
позволяет предоставить третьей стороне ограниченный
доступ к защищённым ресурсам пользователя без
необходимости передавать ей (третьей стороне) логин и
пароль.
©Wikipedia

23. Authentication
Authorization

24. SSO vs OAuth
SSO:
● Передает профиль (custom)
● Фоновый вход
● Единый вход/выход
● Единый ИД пользователя
OAuth: (authentication)
● Передает профиль.
● Вход в 1 клик

25. Google Services

26. Wikipedia

27. Habrahabr & Co

29. Нужно ли вам SSO?
Да, если:
● Сайты с общей тематикой.
● Есть общий функционал.
● Планируется создание эко-системы.
Нет, если:
● Набор отдельных сайтов

30. Достоинства SSO
1. Единый список пользователей. (общий ID)
2. Удобный трекинг активности.
3. Права могу настраиваться в одном месте. (optional)
4. Единый кабинет пользователя.
5. Единоразовый вход/выход для работы со всеми сайтами
системы.
6. Нужно запомнить всего одну пару логин/пароль (optional)
7. Отдельный Auth сервис. Меньше кода - меньше багов.)
8. Отдельный домен для авторизационных cookies.

31. Недостатки SSO
1. Один логин/пароль на всё.
2. Одна точка входа. (отказ системы).

32. Лечим Недостатки SSO

33. Простой пароль
1. Запрещаем создание простых паролей.
2. Двухфакторная авторизация.
3. Правильная защита от брутфорса и подобных атак.

34. Отказ системы
1. Причины отказов. (60% - косяки сотрудников)
2. Падение OAuth провайдеров.
3. Дублирование серверов.
4. Long-term cookies на конечных сервисах.

36. Основной функционал
1. Log-in/Sing-up
2. Log-out
3. Проверка состояния (залогинился ли в других местах).
4. Удаленное создание сессии.
5. Удаленный дроп сессии.

37. Log-in/Sign-up

38. Log-out

39. Autolog-in

41. API Bridge

42. Редиректы

43. SPA

44. Ajax crossdomain
Log-in?

45. Iframes!

46. PostMessage

47. Еще немного Security
1. HTTPS (+Preloaded HSTS)
2. CSP
3. Session Fixation
4. Подключение других соцсетей. (FB)

49. Спасибо
Шкарбалюк Александр, Мой Город.
Site: https://moy-gorod.od.ua
FB: https://www.facebook.com/alexxvot
E-mail: gambit@moy-gorod.od.ua