🔐
Хавфсизлик

OAuth 2.0 аутентификация: code flow, PKCE ва refresh token

20.08.2034
← Барча мақолалар

OAuth 2.0 нима

OAuth 2.0 авторизация протоколи. Тўрт иштирокчи: фойдаланувчи, илова, авторизация сервери ва ресурс сервери. Илова ҳеч қачон пароль кўрмайди.

Authorization code flow

Энг хавфсиз flow. Access token фақат backend ларда алмашади, браузерга чиқмайди. Sayt.uz да барча social login шу flow орқали ишлайди.

PKCE

Mobile ва SPA илова учун client_secret ўрнига code_verifier ишлатилади. Authorization code ўғирланса ҳам, verifier сиз фойдасиз.

Sayt.uz амалиёт

Sayt.uz да барча провайдерлар учун code flow, public client учун PKCE мажбурий. Access token Redis да 1 соат, refresh token шифрланган PostgreSQL да.

Ўхшаш мақолалар

🔐 Парол менежерлар — Bitwarden, 1Password, LastPass ва KeePass танлови 🍯 Honeypot — формада яширин майдон, ботларни ушлайди ва спамни тўхтатади 📄 /.well-known/security.txt — хавфсизлик алоқа стандарти 📋 GDPR мослик — Европа фуқаролари маълумотлари мажбуриятлари
🌐 Тил
🇺🇿 O'zbek 🇺🇿 Ўзбек 🇷🇺 Русский 🇬🇧 English