ПОРІВНЯЛЬНИЙ АНАЛІЗ СУЧАСНИХ ПРОТОКОЛІВ АВТЕНТИФІКАЦІЇ ТА АВТОРИЗАЦІЇ ДЛЯ ВЕБЗАСТОСУНКІВ

Автор(и)

DOI:

https://doi.org/10.20998/3083-6298.2025.02.01

Ключові слова:

автентифікація, авторизація, OAuth, Basic Auth, Single Sign-On, Multi-Factor Authentication, цифрова безпека

Анотація

Актуальність. В умовах швидкої цифрової трансформації безпечний контроль доступу до інформаційних ресурсів став критично важливим. Механізми автентифікації та авторизації формують основу інформаційної безпеки, забезпечуючи перевірку ідентичності користувачів та призначення відповідних прав доступу. Розширення веб-додатків, хмарних сервісів та розподілених систем вимагає впровадження гнучких та стійких до атак протоколів. Предметом дослідження в даній статті є набір широко використовуваних протоколів автентифікації та авторизації, включаючи Basic Authentication, OAuth 1.0, OAuth 2.0, Single Sign-On (SSO) та Multi-Factor Authentication (MFA). Метою статті є порівняння цих технологій з точки зору безпеки, масштабованості, складності інтеграції та придатності для різних ІТ-середовищ. Дослідження базується на аналізі офіційних стандартів (RFC, рекомендації NIST, специфікації OASIS) та галузевих практик. Результати демонструють, що традиційні підходи, такі як Basic Auth та OAuth 1.0, застарівають через обмежену безпеку, тоді як OAuth 2.0 у поєднанні з SSO забезпечує баланс між зручністю та безпекою користувача. Впровадження багатофакторної автентифікації (MFA) значно покращує захист від компрометації облікового запису, але збільшує складність впровадження. Висновок. Жоден протокол не є універсальним рішенням; найвищий рівень безпеки досягається завдяки поєднанню сучасних протоколів авторизації, багатофакторної автентифікації, шифрування токенів та принципів нульової довіри. Ці висновки можуть бути застосовані розробниками, системними архітекторами та фахівцями з кібербезпеки для проектування та впровадження надійних систем автентифікації та авторизації, здатних вирішувати поточні та нові виклики цифровій безпеці.

Біографія автора

Остап Василенко, Aimprosoft, Львів, Україна

Спеціаліст за спеціальністю «Електронні прилади та системи», співробітник та розробник програмного забезпечення

Посилання

  1. NIST Special Publication 800-162 — Guide to Attribute Based Access Control (ABAC) Definition and Considerations (2014), National Institute of Standards and Technology, [online]. nist: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-162.pdf
  2. ISO/IEC 10181-3:1996 — Information technology — Open Systems Interconnection — Security frameworks for open systems: Access control framework (1996), International Organization for Standardization, [online]. iso: https://www.iso.org/standard/18396.html
  3. NIST Special Publication 800-53 Rev. 5 — Security and Privacy Controls for Information Systems and Organizations (2020), National Institute of Standards and Technology, [online]. csrc: https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final
  4. DNIST RBAC Standard — Role-Based Access Control (2004), Information Technology Laboratory, National Institute of Standards and Technology, [online]. nist: https://csrc.nist.gov/projects/role-based-access-control
  5. RFC 4949 — Internet Security Glossary, Version 2 (2007), Internet Engineering Task Force (IETF), [online]. ietf: https://datatracker.ietf.org/doc/html/rfc4949
  6. RFC 8176 — Authentication and Authorization for Constrained Environments (2017), Internet Engineering Task Force (IETF), [online]. ietf: https://datatracker.ietf.org/doc/html/rfc8176
  7. Resnick, P. (2015), “The ‘Basic’ HTTP Authentication Scheme”, RFC 7617, Internet Engineering Task Force (IETF), [online]. ietf: https://datatracker.ietf.org/doc/html/rfc7617
  8. Hammer-Lahav, E. (2010), “The OAuth 1.0 Protocol”, RFC 5849, Internet Engineering Task Force (IETF), [online]. ietf: https://datatracker.ietf.org/doc/html/rfc5849
  9. Hardt D. (2012), “The OAuth 2.0 Authorization Framework”, RFC 6749, Internet Engineering Task Force (IETF), [online]. Ietf: https://datatracker.ietf.org/doc/html/rfc6749
  10. OASIS (2008), “Security Assertion Markup Language (SAML) V2.0 Technical Overview”, OASIS Standard, [online]. oasis: https://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0.html
  11. OpenID Foundation (2014), “OpenID Connect Core 1.0”, [online]. openid: https://openid.net/specs/openid-connect-core-1_0.html
  12. National Institute of Standards and Technology (NIST) (2017), “Digital Identity Guidelines: Authentication and Lifecycle Management”, NIST Special Publication 800-63B, [online]. nist: https://pages.nist.gov/800-63-3/sp800-63b.html
  13. National Institute of Standards and Technology (NIST) (2020), “Recommendation for Pair-Wise Key Establishment Using Integer Factorization Cryptography”, NIST Special Publication 800-175B, [online]. nist: https://csrc.nist.gov/publications/detail/sp/800-175b/final
  14. Jones, M., Hardt, D. and Recordon, D. (2012), “The OAuth 2.0 Authorization Framework: Bearer Token Usage,” RFC 6750, Internet Engineering Task Force (IETF), [online]. ietf: https://datatracker.ietf.org/doc/html/rfc6750
  15. Jones, M., Bradley, J. and Sakimura, N. (2015), “JSON Web Token (JWT)”, RFC 7519, Internet Engineering Task Force (IETF), [online]. ietf: https://datatracker.ietf.org/doc/html/rfc7519
  16. Hardt, D. (2012), “The OAuth 2.0 Authorization Framework”, RFC 6749, Internet Engineering Task Force (IETF), [online]. ietf: https://datatracker.ietf.org/doc/html/rfc6749
  17. Sakimura, N., Bradley, J., Jones, M., Medeiros, B. and Mortimore, C. (2014), “OpenID Connect Core 1.0”, The OpenID Foundation, [online]. openid: https://openid.net/specs/openid-connect-core-1_0.html
  18. Parecki, A. (2021), “OAuth 2.0 Simplified”, 2nd ed., Okta, [online]. https://oauth2simplified.com/
  19. Campbell, B., Bradley, J., Sakimura, N. (2015), “Proof Key for Code Exchange by OAuth Public Clients”, RFC 7636, IETF, [online]. ietf: https://datatracker.ietf.org/doc/html/rfc7636
  20. OAuth.net, “Introduction to OAuth 2.0”, [online]. oauth: https://oauth.net/2/
  21. National Institute of Standards and Technology (NIST) (2022), “Digital Identity Guidelines: Authentication and Lifecycle Management”, NIST Special Publication 800-63B, [online]. nist: https://pages.nist.gov/800-63-3/sp800-63b.html
  22. CISA (2023), “Multi-Factor Authentication (MFA)”, Cybersecurity and Infrastructure Security Agency, [online]. cisa: https://www.cisa.gov/mfa
  23. Microsoft (2023), “What is: Multifactor authentication”, Microsoft Security Documentation, [online]. microsoft: https://learn.microsoft.com/azure/active-directory/authentication/concept-mfa-howitworks
  24. OWASP (2023), “Authentication Cheat Sheet”, Open Worldwide Application Security Project, [online]. owasp: https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html
  25. Google Cloud (2023), “Multi-Factor Authentication overview”, Google Cloud Documentation, [online]. google: https://cloud.google.com/architecture/identity/multi-factor-authentication-overview

##submission.downloads##

Опубліковано

2025-09-26

Номер

Том 1 № 2 (2025): Територія безпеки

Розділ

Статті