Майстер авторизації OAuth

TOC(inline, heading=Зміст)

OAuth в двох словах

​OAuth — відкритий протокол, який дозволяє здійснювати захищену API авторизацію простим та стандартними методом, як із звичайних, так і з веб-застосунків.

Стандартний сценарій використання — нерозголошення вашого пароля в OSM

Стандартний сценарій використання OAuth в OSM дозволяє вам більш надійно захистити ваш пароль від розголошення ніж під час використання Базової автентифікації.

Метод OAuth має дві основних переваги перед Базовою автентифікацією::

1. Ваш пароль OSM не буде зберігатись у вигляді простого тексту у файлі налаштувань JOSM.
2. Ваш пароль OSM буде переданий тільки раз через Інтернет в зашифрованому вигляді, на відміну від базової автентифікації, де пароль OSM передається кожного разу як частина запиту, який JOSM надсилає до сервера OSM у вигляді простого тексту .

В термінах OAuth, користувач JOSM надає дозвіл JOSM’у на доступ до сервера OSM від імені користувача. Впродовж процесу авторизації ніколи не потрібно вводити пароль OSM в діалозі JOSM, якщо користувач не повністю довіряє JOSM’у (на відміну від бажання отримати додаткові зручності, про що йдеться трохи нижче). Вірніше, сервер OSM надасть Мітку доступу за допомогою якої JOSM буде представлятись серверу OSM під час надсилання даних від імені користувача. Мітка доступу не розголошує пароль користувача і її можна відкликати у будь-який момент.

Розширений сценарій використання — делегування доступу іншим картографам

Розширеним сценарієм використання OAuth є делегування доступу до вашого облікового запису OSM іншим картографам. OAuth дозволяє вам надати іншим користувачам обмежений доступ до вашого облікового запису у разі потреби.

Приклад: Степан може надати Остапу право завантажувати його приватні треки GPS з сервера OSM. Степану потрібно створити Мітку доступу OAuth та обмежити її права тільки можливістю "Завантажувати мої приватні треки GPS". Потім Степану треба надіслати листа з Міткою доступу Остапу. Остап тепер може ввести Мітку доступу в JOSM і отримати можливість завантажувати приватні треки GPS Степана з сервера OSM. Остап буде не в змозі надсилати дані від імені Степана, тому що він не знає пароль Степана до його облікового запису в OSM. У будь-який час, Степан може відкликати Мітку доступу надану Остапу.

Майстер авторизації OAuth

Майстер авторизації OAuth знаходиться в Налаштуваннях в розділі Параметри з’єднання.

Що означає автентифікація/авторизація?

Під час надсилання геоданих на сервер OSM вам треба сповістити сервер про те ким ви є. Серверу OSM потрібно ідентифікувати кожного картографа, який надсилає дані, запитуючи його ім’я в OSM. Крім того, серверу OSM потрібно автентифікувати його ідентичність, тобто визначити, чи насправді користувач є тим ким він назвався. Для цього сервер на додачу до імені запитує пароль. З боку сервера допускається, що будь-хто хто знає секретний пароль для імені користувача АБВ надійно проходить перевірку автентичності на те, щоб бути саме користувачем АБВ. Користувач, який увійшов з автентифікованими ім’ям та паролем має право виконувати більш широкий спектр операцій на сервері. Авторизований користувач може надсилати дані, створювати та закривати набори змін, надсилати треки GPS, отримувати та змінювати персональні налаштування на сервері, запрошувати інших користувачів товаришувати, надсилати повідомлення до інших облікових записів та так далі. Зараз неможливо створити обліковий запис в OSM з обмеженими правами, наприклад, такий що матиме змогу тільки надсилати треки GPS, але не в змозі надсилати геодані. Будь-хто хто пройшов автентифікацію за допомоги ім’я користувача та паролю OSM є повністю авторизованим для виконання всіх дій, які може виконувати звичайний користувач на сервері.

Ось де в гру вступає OAuth: OAuth дозволяє вам авторизувати кого-небудь ще для виконання дій від вашого імені з певними обмеженнями. Замість того, щоб роздавати ваші ім’я та пароль в OSM, які надають отримувачу повні права на дії від вашого імені на сервері OSM, ви надаєте тільки «квиток», в якому перелічено делеговані права. Цей квиток називається Міткою доступу. Обмеження, що застосовуються в Мітці доступу включають в себе::

• Мітка доступу дійсна тільки для зазначених клієнтів (в термінології OAuth — споживачі), тобто тільки для JOSM, а не для OpenStreetBugs
• Мітка доступу дійсна тільки для виконання певних дій, наприклад, для надсилання треків GPS, а не для надсилання геоданих
• Мітка доступу може бути дійсною лише впродовж певного часу, наприклад, лише сьогодні, але це покищо не підтримується сервером OSM

На додачу до пари ім’я/пароль, сервер OSM також приймає Мітки доступу OAuth для автентифікації та авторизації користувачів. Більш конкретно, він приймає запити підписані такої міткою, але це тлумачення цього виходить за межі цієї довідки.

Майстер авторизації OAuth дозволяє вам отримувати дійсні Мітки доступу OAuth, за умови що у вас є ім’я та пароль в OSM, або вводити та використовувати Мітку доступу в JOSM, отриману від особи, яка має ім’я та пароль в OSM.

Fully automatic authorisation process

The easiest way to get an Access Token is to let JOSM fully automatically retrieve one from the OSM server.

1. Step 1/3 - Open the preferences dialog

Click on the Preferences button in the toolbar. In the dialog, select the Connection Setting tab.

2. Step 2/3 - Get the Access Token

Enter your OSM username and your OSM password and click on Authorise now.

3. Step 3/3 - Accept the Access Token

JOSM displays the retrieved Access Token.

• Deselect the checkbox Save to preferences if you don't want to save the Access Token in the JOSM preferences. If you don't save it the Access Token will be lost when you close JOSM. If you later startup JOSM again you will have to retrieve a new Access Token to work with OAuth based authentication again.
• Click on Test Access Token" to test the token
• Click on Accept Access Token to accept it.

Restricting the granted privileges

When JOSM fully-automatically requests and authorises an Access Token, it grants it five privileges:

• the right to upload data to the OSM server
• the right to upload GPS traces to the OSM server
• the right to download private GPS traces from the OSM server
• the right to read the preferences stored on the OSM server
• the right to write preferences stored on the OSM server

These are the default settings. If you want to restrict the granted privileges:

1. Click the tab Granted rights
2. Deselect each privilege which should not be granted to the requested Access Token

Advanced OAuth parameters

When JOSM fully-automatically requests and authorises an ​Access Token, it uses default values for the OAuth parameters. Advanced users may want to change these parameters

• in order to use a different Consumer Token (consisting of a Consumer Key and a Consumer Secret). This allows you to create your own Consumer Token for JOSM and then use it in JOSM.
• in order to use it on a different than the standard OSM server. For instance, this allows users to use OAuth with an OSM development server or with a local installation of the OSM server application.

In order to edit the Advanced OAuth parameters

1. Click the tab Advanced OAuth parameters
2. Deselect the checkbox Use default settings
3. Enter your values for the five OAuth parameters

Semi-automatic authorisation process

You can also retrieve an Access Token semi-automatically. If you use this process you have to use both dialogs in JOSM and the OSM website launched in an external browser to create and authorise the Access Token. In contrast to the fully automatic process you never have to enter your OSM username or your OSM password into a JOSM dialog. This process is therefore suitable for a user which - for whatever reason - never wants to use their OSM password outside of the secure login page of the OSM website. The fully automatic process runs exactly the same steps that would run manually in the semi-automatic process, just without your intervention.

1. Step 1/3 - Get the Request Token

Click on Retrieve Request Token to retrieve an OAuth Request Token.

2. Step 2/3 - Authorise the Request Token in an external browser

JOSM now launches an external browser with the OSM website. Please login and follow the instructions. Then switch back to the OAuth Authorisation Wizard and click on Retrieve Access Token.

3. Step 3/3 - Accept the Access Token

JOSM displays the retrieved Access Token. Click on Accept Access Token to accept it.

Advanced OAuth parameters

When JOSM semi-automatically requests and authorises an Access Token, it uses default values for the OAuth parameters. Advanced users may want to change these parameters

• in order to use a different Consumer Token (consisting of a Consumer Key and a Consumer Secret). This allows you to create your own Consumer Token for JOSM and then use it in JOSM.
• in order to use it on a different than the standard OSM server. For instance, this allows users to use OAuth with an OSM development server or with a local installation of the OSM server application.

In order to edit the Advanced OAuth parameters

1. Select the checkbox Display Advanced OAuth Parameters
2. Enter your values for the five OAuth parameters

Manual authorisation process

The manual authorisation process allows you to enter an arbitrary Access Token. You can use this process

• to enter an Access Token you have kept in a secure place, for instance in a secure store for credentials
• to enter an Access Token you have received from somebody else, for instance from another mapper who granted you restricted account access

1. Step 1/1 - Enter the Access Token and accept it

Enter the Access Token and click on Accept Access Token.

Advanced OAuth parameters

• See advanced preferences in the fully automatic process.

Troubleshooting

• If you are working on a university or corporate network, a firewall may prevent the OAuth authentification request.
  Please check the corresponding connection with your network engineer.

---

Back to Connection settings
Back to Main Help