Sözlük · O

OAuth Nedir? Nasıl Çalışır, Avantajları ve Kullanım Alanları

OAuth, kullanıcıların hesap bilgilerini üçüncü taraf uygulamalara vermeden yetki verme sistemdir. Genellikle sosyal medya veya e-posta hesaplarıyla web sitelerine ve uygulamalara giriş yapmak için kullanılır. Şifre paylaşmaya ihtiyaç duymadan güvenli erişim sağlar.

5 dk okuma
OAuth

OAuth, kullanıcıların kişisel bilgilerini ve şifrelerini doğrudan üçüncü taraf uygulamalara vermeden, yetki verme işlemini gerçekleştiren açık standart bir protokoldür. "OAuth" terimi "Open Authorization" (Açık Yetkilendirme) anlamına gelir. İnternet üzerinde hesap güvenliğini koruyarak, farklı platformlarda kolayca giriş yapmanın temelini oluşturmuştur. Google, Facebook, Apple, Microsoft ve LinkedIn gibi büyük teknoloji şirketlerinin sunduğu "Başka hesapla giriş" özellikleri OAuth tarafından çalıştırılır.

OAuth Nasıl Çalışır?

OAuth, dört temel taraf arasında işlem gerçekleştirir:

  • Kaynak Sahibi (Resource Owner): Kullanıcı, kendi verilerine sahip olan kişidir.
  • İstemci (Client): Kullanıcının verilerine erişmek isteyen üçüncü taraf uygulama.
  • Yetkilendirme Sunucusu (Authorization Server): Kullanıcının kimliğini doğrulayan sunucu (örneğin, Google sunucuları).
  • Kaynak Sunucusu (Resource Server): Kullanıcı verilerini tutan sunucu.

İşlem akışı şu şekildedir:

  1. Kullanıcı, bir web sitesinde "Google ile giriş yap" butonuna tıklar.
  2. Web sitesi (istemci), kullanıcıyı Google'ın yetkilendirme sayfasına yönlendirir.
  3. Google, kullanıcının kimliğini doğrular ve hangi verilerin paylaşılacağını sorar.
  4. Kullanıcı onay verirse, Google bir "erişim kodu" (access token) üretir.
  5. Web sitesi, bu kodu kullanarak Google'dan kullanıcı bilgilerini alır.
  6. Kullanıcı, şifresini web sitesiyle paylaşmadan giriş tamamlanır.

"OAuth, parolasız kimlik doğrulamanın temel taşıdır ve modern internet güvenliğinin kritik bir bileşenidir."

OAuth Türleri: OAuth 1.0 ve OAuth 2.0

OAuth iki ana versiyonda mevcuttur:

Özellik OAuth 1.0 OAuth 2.0
Yayınlanma Tarihi 2010 2012
Kullanım Kolaylığı Karmaşık Basit ve geliştirici dostu
Şifreleme Yöntemi HMAC-SHA1 SSL/TLS
Mobil Uyumluluk Düşük Yüksek
Güncel Kullanım Nadır, kullanımdan kaldırılıyor Endüstri standardı

OAuth 2.0 günümüzde yaygın olarak kullanılan versiyondur. Daha basit yapısı, güvenli token mekanizması ve mobil uygulamalar için optimize edilmiş tasarımı nedeniyle tercih edilmektedir.

OAuth'un Avantajları

  • Güvenlik: Kullanıcılar şifrelerini üçüncü taraf uygulamalarla paylaşmazlar.
  • Kontrol: Kullanıcılar hangi verilerin paylaşılacağını seçebilir ve istediğinde erişimi iptal edebilir.
  • Kolay Kullanım: Kullanıcılar yeni hesap oluşturmaya gerek duymaz, hızlı giriş yapabilir.
  • Yaygın Kabul: Google, Facebook, Apple gibi büyük platformlar OAuth destekler.
  • Veri Gizliliği: Kaynak sunucu, kullanıcı şifrelerini hiçbir zaman üçüncü tarafa göstermez.
  • Skalabilite: Milyonlarca kullanıcıyı güvenle yönetebilir.

OAuth'un Dezavantajları

  • Karmaşık Yapı: Uygulama geliştiricilerin OAuth entegrasyonunu doğru yapması zordur.
  • Phishing Riski: Sahte yetkilendirme sayfaları kullanıcıları kandırabilir.
  • Token Süresi: Erişim kodları sınırlı süre için geçerlidir, yenilenmesi gerekir.
  • Bağımlılık: OAuth sağlayıcısı (Google, Facebook) hizmet vermezse erişim kesilir.
  • Veri İhlali Riski: OAuth sunucusu hacklenmesi durumunda birçok platform etkilenebilir.

OAuth Nerede Kullanılır?

OAuth günlük yaşamda birçok yerde karşımıza çıkar:

  • Sosyal Medya Girişi: "Facebook ile giriş yap", "Google ile giriş yap" seçenekleri.
  • E-ticaret Siteleri: Amazon, Trendyol gibi platformlarda sosyal ağ hesaplarıyla giriş.
  • Streaming Platformları: Netflix, Spotify gibi uygulamalar, kullanıcı profil bilgisini almak için OAuth kullanır.
  • Oyun Platformları: PlayStation, Steam, Xbox hesaplarıyla başka oyunlara giriş.
  • İş Araçları: Slack, Trello, Figma gibi iş uygulamaları ekip üyelerini OAuth ile yönetir.
  • Mobil Uygulamalar: iOS ve Android uygulamalarında hızlı kayıt ve giriş işlemleri.
  • Sağlık Uygulamaları: Fitness trackers, sağlık platformları kullanıcı verilerini güvenle paylaşır.

OAuth'un Tarihçesi

OAuth protokolü, 2006 yılında Twitter'ın kurucusu Evan Williams ve diğer geliştirici yöneticiler tarafından tasarlanmıştır. İlk sürüm olan OAuth 1.0, 2010 yılında resmi olarak yayınlanmıştır. Güvenlik açıkları ve kötü uygulamalar nedeniyle, 2012 yılında OAuth 2.0 geliştirilmiştir. OAuth 2.0, daha basit, güvenli ve mobil cihazlara uygun olduğu için hızla benimsenmiştir.

2024 itibarıyla, OAuth 2.0 dünya çapında milyarlarca cihazda ve hizmetinde kullanılmaktadır. OAuth 1.0, güvenlik sorunları nedeniyle çoğu platformda kaldırılmıştır.

OAuth ve Benzeri Protokoller: Fark Nedir?

OpenID Connect (OIDC): OAuth 2.0 üzerine inşa edilen bir kimlik doğrulama katmanıdır. OAuth sadece yetki verme yaparken, OIDC hem kimlik doğrulama hem yetki verme yapar.

SAML: Kurumsal ortamlarda kullanılan eski bir protokoldür. OAuth 2.0 kadar esnek değildir ve mobil uygulamalar için uyumlu değildir.

JWT (JSON Web Token): OAuth 2.0 ile birlikte kullanılan bir token formatıdır. JWT, OAuth'un erişim kodlarını şifrelemek için sık sık tercih edilir.

OAuth Güvenliği: Dikkat Edilmesi Gerekenler

  • Yetkili Sunucu Doğrulama: Uygulamalar, yetkilendirme sunucusunun gerçek olup olmadığını doğrulamalıdır.
  • Refresh Token Yönetimi: Uzun ömürlü refresh tokenları güvenli şekilde saklanmalıdır.
  • Scope Sınırlandırması: Uygulamalar yalnızca gerekli verilere erişim talep etmelidir.
  • HTTPS Zorunluluğu: OAuth akışı her zaman şifreli bağlantı (HTTPS) üzerinde gerçekleşmelidir.
  • Token Süresi: Erişim kodları kısa ömürlü olmalıdır (genellikle 1 saat).
OAuth ve açık şifre arasındaki fark nedir?+
OAuth'ta kullanıcı şifresi asla üçüncü taraf uygulamaya verilmez; bunun yerine yetki kodu kullanılır. Açık şifre sisteminde kullanıcı şifresi uygulamaya iletilir ve bu çok daha risklidir. OAuth, şifre paylaşımının tehlikelerini ortadan kaldırır.
OAuth ile giriş yaparsam verilerim güvende mi?+
Evet, OAuth güvenlidir çünkü şifreniz asla üçüncü taraf uygulamaya verilmez. Verileriniz doğrudan Google, Facebook gibi güvenilir sunuculara kalır. Ancak, üçüncü taraf uygulamaya ne kadar veri erişimi verdiğinize dikkat etmelisiniz.
Google ile giriş yaptığım hesaba başka biri ulaşabilir mi?+
Google hesabınızın güvenliği iyi ise, OAuth sayesinde başka biri ulaşamaz. Çünkü OAuth sistemi sadece sizin onayınızla veri paylaşır. Ancak Google hesabınız hacklenmişse, OAuth üzerinden bağlı tüm uygulamalara erişim riski oluşabilir.

O harfindeki diğer terimler

OpenGL
OpenGL, grafik kartlarından faydalanarak gerçek zamanlı 2D ve 3D grafikleri işlemek için kullanılan açık stand...
OOP (Nesneye Yönelik)
OOP (Nesneye Yönelik), programlama dillerinde veri ve işlevleri nesneler halinde bir araya getiren bir yazılım...
On-premise
On-premise (ayrıca "on-premises" olarak yazılır), yazılım uygulamalarının ve verilerinin kuruluşun kendi fizik...
Online Banking
Online Banking, müşterilerin bilgisayar veya mobil cihazlar üzerinden internet bağlantısıyla banka hizmetlerin...
Open Source
Open Source (Açık Kaynak), kaynak kodları kamuya açık olan ve herkes tarafından incelenebilen, değiştirilebile...
Önbellek
Önbellek (Cache), bilgisayar sistemlerinde sık erişilen verileri daha hızlı bir ortamda geçici olarak depolaya...
Tüm sözlüğe dön →