Örtülü Hibe, kullanıcı kimlik doğrulaması ve yetkilendirmesi için yaygın olarak kullanılan bir çerçeve olan OAuth 2.0'daki bir yetkilendirme akış türüdür. Tek Sayfa Uygulamaları (SPA'lar) ve tamamen kullanıcının tarayıcısında çalışan istemci tarafı web uygulamaları için özel olarak tasarlanmıştır. Amacı, bu uygulamaların ayrı bir talebe ihtiyaç duymadan Erişim Tokenlarını doğrudan Yetkilendirme Sunucusundan almasını sağlamak, kullanıcı adına korunan kaynaklara erişim için gerekli izinleri vermektir.
Başlangıçta JavaScript uygulamaları için Yetkilendirme Kodu akışına daha basit bir alternatif olarak tanıtılan Örtülü Hibe'nin bazı yapısal güvenlik sınırlamaları vardır. Kod Değişimi için Kanıt Anahtarı (PKCE) akışı gibi SPA'lar ve istemci tarafı uygulamalar için özel olarak tasarlanmış yeni, daha güvenli akışların ortaya çıkmasıyla birlikte, birçok uzman artık bu daha güvenli alternatifler lehine Örtülü Hibeden kaçınılmasını önermektedir. Ancak, OAuth 2.0 spesifikasyonunun bir parçası olarak kaldığı ve bazı senaryolarda hala kullanıldığı için Örtülü Hibe'nin nasıl çalıştığını anlamak hâlâ önemlidir.
Örtülü Yetki akışında, tarayıcı tabanlı uygulama, kimlik doğrulaması yapmak ve istenen izinler (kapsamlar) için onay sağlamak üzere kullanıcıyı Yetkilendirme Sunucusuna gönderir. Yetkilendirme Sunucusu daha sonra kullanıcıyı, doğrudan bir URL parçası olarak dahil edilen Erişim Simgesiyle birlikte uygulamanın kayıtlı yönlendirme URI'sine geri yönlendirir. Uygulama daha sonra Erişim Simgesini URL'den çıkarabilir ve kullanıcı adına korunan kaynaklara erişmek için kullanabilir.
Bu akış, Erişim Simgesinin URL'de hiçbir zaman açığa çıkmamasını sağladığından, Yetkilendirme Kodu akışında çok önemli bir güvenlik özelliği olan Yetkilendirme Kodu isteme ara adımını atlar. Ancak bu basitleştirme, artan güvenlik riskleri pahasına geliyor. Örtülü Hibe akışındaki Erişim Belirteçleri, tarayıcının geçmişi, Yönlendiren başlıkları veya olası komut dosyası enjeksiyonları yoluyla müdahaleye karşı daha hassastır. Ayrıca, Örtülü Hibe, yenileme belirteçleri için destekten yoksundur, bu da daha az güvenli ve daha az verimli belirteç yönetimiyle sonuçlanabilir.
Potansiyel güvenlik endişeleri ve SPA'lar için daha uygun akışların mevcudiyeti göz önüne alındığında, Örtülü Hibe artık modern uygulamalar için en iyi uygulama olarak görülmemektedir. PKCE'nin etkin olduğu Yetkilendirme Kodu akışı artık SPA'lar ve istemci tarafı uygulamalar için önerilen yetkilendirme akışı haline gelerek daha güvenli ve esnek bir çözüm sunuyor.
Örtülü Hibe'den kaçınılması yönündeki tavsiyeye rağmen, mekanizmalarını ve potansiyel kullanım durumlarını anlamak, herhangi bir OAuth 2.0 uygulayıcısı için çok önemlidir. Arka uç, web ve mobil uygulamalar oluşturmaya yönelik güçlü no-code bir platform olan AppMaster bağlamında, kullanıcı kimlik doğrulaması ve yetkilendirme, oluşturulan uygulamaların gerekli güvenlik gereksinimlerini karşılamasını sağlamada çok önemli bir rol oynar. AppMaster farklı türdeki istemcilere ve kullanım senaryolarına uyum sağlamak için çeşitli OAuth 2.0 akış seçenekleri sunarak geliştiricilerin normal zaman ve maliyetten çok daha düşük bir maliyetle güvenli, ölçeklenebilir ve verimli uygulamalar oluşturmasına yardımcı olur.
Geliştiriciler, AppMaster ile OAuth 2.0'ı kullanırken, Yetkilendirme Kodu akışı, Kaynak Sahibi Parola Kimlik Bilgileri akışı, İstemci Kimlik Bilgileri akışı ve artık kullanımdan kaldırılan Örtülü Hibe dahil olmak üzere özel ihtiyaçlarına göre çeşitli yetkilendirme verme türleri arasından seçim yapabilir. Ancak her zaman mevcut en iyi uygulamaların takip edilmesi ve SPA'lar ve istemci tarafı web uygulamaları için PKCE özellikli Yetkilendirme Kodu akışı gibi mümkün olan en uygun ve güvenli akışın kullanılması önerilir.
Sonuç olarak, Örtülü Hibe, Erişim Belirteçlerini elde etmek için daha basit ancak daha az güvenli bir seçenek sunan, SPA'lar ve istemci tarafı web uygulamaları için tasarlanmış bir OAuth 2.0 yetkilendirme akışıdır. Tarihsel bir öneme sahip olmasına ve OAuth 2.0 spesifikasyonunun bir parçası olmasına rağmen, PKCE özellikli Yetkilendirme Kodu akışı gibi modern alternatifler çok daha iyi güvenlik ve esneklik sunar. AppMaster ile çalışan bir kullanıcı kimlik doğrulama uzmanı olarak, oluşturulan uygulamalarda kullanıcı kimlik doğrulama akışlarını uygularken en güvenli ve verimli çözümleri tercih ederek sektörün en iyi uygulamaları ve yönergeleri konusunda güncel kalmak çok önemlidir.
