A secure OAuth 2.0 implementation model

Abstract

Pilveen tallennetaan yhä enemmän dataa ja verkkopalveluiden määrää kasvaa jatkuvasti. Tämän vuoksi käyttäjillä on yhä useammin tarve sallia kolmannen osapuolen sovelluksille pääsy verkkopalveluihin tallennettuun dataan. OAuth 2.0 valtuutuskehys pyrkii tarjoamaan avoimen ja standardoidun protokollan valtuuttamiseen. OAuth 2.0:n tietoturvallinen toteutus vaatii kuitenkin laajaa tuntemusta OAuth 2.0:n spesifikaatiosta ja verkkopalveluiden tietoturvasta yleisesti. Tämän konstruktiivisen tutkimuksen tarkoituksena on konstruktoida web-kehittäjille tietoturvallinen malli OAuth 2.0 sovelluskehyksen toteutusta varten. Tutkimuksessa tunnistetaan tietoturvallisen OAuth 2.0 toteutuksen ominaisuudet. Tämän pohjalta tehdään OAuth 2.0 toteutus. Toteutuksen tietoturva testataan ja tulokset analysoidaan.

A growing amount of data is stored in the cloud and the number of web services is soaring. This has created a need for users to authorize third party applications to access their resources. The OAuth 2.0 authorization framework aims to offer an open and standardized protocol for authorization. However, implementing OAuth 2.0 securely requires a great deal of knowledge of both the OAuth 2.0 specification and web security in general. The present research will take a form of a constructive research study. The aim is to construct a secure model for web developers implementing OAuth 2.0. The features of a secure OAuth 2.0 implementation are identified. Then, OAuth 2.0 is implemented. The security of this implementation is tested and the results reviewed.