PUSH-авторизация в сервисах с помощью мобильного приложения

в 18:10, , рубрики: android, iOS, mobile development, php, pushauth, информационная безопасность, разработка мобильных приложений, Системы обмена сообщениями

Мы рады представить сообществу сервис PushAuth, который позволяет Вашим клиентам авторизироваться с помощью PUSH-сообщений на мобильном устройстве!

PUSH-авторизация в сервисах с помощью мобильного приложения - 1

Эта идея не новая и многие компании в своих приложениях уже используют эту технологию. Всё выглядит достаточно просто, пока не рассматриваешь вопросы: безопасности, менеджмента устройств и клиентов, совместимости и комфортной работы.

Как возникла идея?

Мы используем очень много сервисов: email, социальные сети, CRM-системы, системы контроля доступа, клиент-банки и тд. У каждого из сервисов, как правильно, для доступа необходимо использовать логин/email и пароль. Можно уже сделать вывод, что:

  1. Практически у каждого из нас есть email.
  2. Пароли в большинстве случаев везде одинаковые. (Будем считать, что мы не используем сторонние сервисы, такие как 1password и другие)

Исходя из двух пунктов, хотелось:

  1. Использовать этот один email для авторизации.
  2. Не использовать пароли вообще.

Что из этого вышло?

Мы в мобильных приложениях для регистрации не используем паролей вообще. Да, нет необходимости запоминать ещё один пароль. Для регистрации/авторизации в мобильном приложении достаточно ввести только email, на который прийдёт письмо со ссылкой для подтверждения действия. После следующего ввода email — Вы автоматически войдёте в приложение без регистрации.

Какие виды авторизации?

Сейчас доступно два основных вида запросов на авторизацию:

  1. Push вопрос на авторизацию, в котором клиенту необходимо дать ответ: Да или Нет. Для данного способа доступен сервис routing, о котором чуть ниже.
  2. Безопасный Push-код, которые владелец сервиса сам отправляет в мобильное приложение клиента по средству сервиса PushAuth.
  3. QR-авторизация, которая позволяет сканировать код мобильным приложением клиента и пройти авторизацию. Данный способ уже на стадии закрытого тестирования мобильными приложениями и в ближайшее время так же станет доступен.

Мобильные приложения

  • Для доставки PUSH-сообщений на Android & iOS мы используем FireBase Cloud Messaging. Все данные передаваемые от мобильного приложения к серверу PushAuth подписываются HMAC SHA-256, персональными приватными ключами.
  • Мобильное приложение имеет дополнительно защиту PIN-кодом (TouchID-паролем), что повышает уровень безопасности от несанкционированного доступа.
  • Мы планируем разрабатывать SDK, которое позволит использовать функционал API в Ваших мобильных приложениях.
  • Клиенты могут иметь сразу 10 устройств, на которые смогут прийти PUSH-запросы. Ответив на одном из устройств, на остальных устройствах ответы на Push игнорируются. Мы планируем прятать Push-сообщения на других устройствах при ответе на одном.

Push-вопрос

Безопасный Push-код

Приложения уже доступны:
PUSH-авторизация в сервисах с помощью мобильного приложения - 2 PUSH-авторизация в сервисах с помощью мобильного приложения - 3

Backend

PUSH-авторизация в сервисах с помощью мобильного приложения - 4

Для владельцев сервисов доступна детальная статистика об статусах авторизации их клиентов. Вы можете создавать для каждого сервиса свой отдельный Application и следить за его использованием. Кроме того, Вы можете настроить Web-хуки, которые будут отправлять данные об авторизации:

  • QR-кодов
  • Push-запросов
  • TimeOut ответов клиентов

PUSH-авторизация в сервисах с помощью мобильного приложения - 5

Где это можно использовать?

CRM

Начнём наш полёт фантазии с IT-сервисов, например тех же CRM-систем, где есть необходимость подтверждать действие сотрудника. Например, благодаря сервису routing, возможно сделать так, что для подписания документа, необходимо подтверждение руководства. Таким образом картина в целом выглядит так:

  1. Сотрудник инициирует действие и получает PUSH-запрос и отвечает Да.
  2. Его непосредственный начальник получает PUSH-запрос и отвечает Да.
  3. Выше стоящий руководитель получает PUSH-запрос и отвечает Да.
  4. Результатом всех действий будет Да

Если на каком-то этапе кто-то ответит Нет, то следующее вышестоящее звено не получит PUSH-запрос и общим результатом запросов будет ответ Нет

Выше мы описали работу сервиса routing с очерёдностью. Но данный сервис возможно использовать и без очерёдности. Это означает, что все звенья цепочки (сотрудники) получат одновременно PUSH-запрос. И только если все из них ответят положительно, только тогда общий результат запросов будет положительным.

Web-site

Двух-факторная или простая одно-факторная авторизация на сайте может упростить или обезопасить доступ к внутренним ресурсам. Например для доступа к web-панели администратора того же WordPress, когда Вы даёте доступ своему подрядчику/разработчику и хотите строго контролировать его по средству Push-запросов авторизации.

OS

Используете SSH/telnet доступ? Либо хотите открывая крышку ноутбука получать запрос об авторизации? Тогда этот сервис будет просто идеальным вариантом.

Инженерия и оборудование

Вы можете дополнительно в промышленных масштабах реализовать доступ к объектам (сейф, лифт, турникет, сигнализация) с помощью мобильного приложения.

Безопасность

PUSH-авторизация в сервисах с помощью мобильного приложения - 6

Это самый важный вопрос в этом сервисе. Стоит обратить на такие вещи, как обмен данными между Сервисом пользователя <--> Сервер PushAuth <--> Приложение клиента.
Все данные передаются over HTTPS (TLS), с подписью HMAC, алгоритмом SHA-256. У каждого клиента и пользователя сервиса есть своя пара Public & Private Key. Публичный ключ в нашем случае необходим для идентификации в общем сетевом хранилище и может передаваться в открытом виде. Приватный ключ передаётся надёжным способом. В случае мобильного приложения — все ключи передаются только через APN/GCM. Таким образом мы обеспечиваем дополнительную защиту на уровне сертификатов данных сервисов.

API и библиотеки

Мы описали детальное API, для работы с сервисом. Генерация и отправка запроса, получение ответа и декодирование данных. Всё доступно по ссылке.
На данный момент одна из основных задач — это написание библиотек для работы с сервисом для снижения порога вхождения пользователями сервиса. Поэтому сейчас уже доступны:

Мы нуждаемся в: Python, Go, Ruby, Node, .NET — библиотеках. А так же в PHP, фреймворк-пакетах, напр под WordPress, Laravel и другие. Для авторизации в Linux через SSH/Bash LogOn, необходим so-модуль.
Если Вы заинтересованы помочь проекту — мы будем рады предоставить PREMIUM 6 month account.

Автор: Ярослав Снисар

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js