Майстер авторизації OAuth

TOC(inline, heading=Зміст)

OAuth в двох словах

​OAuth — відкритий протокол, який дозволяє здійснювати захищену API авторизацію простим та стандартними методом, як із звичайних, так і з веб-застосунків.

Стандартний сценарій використання — нерозголошення вашого пароля в OSM

Стандартний сценарій використання OAuth в OSM дозволяє вам більш надійно захистити ваш пароль від розголошення ніж під час використання Базової автентифікації.

Метод OAuth має дві основних переваги перед Базовою автентифікацією::

1. Ваш пароль OSM не буде зберігатись у вигляді простого тексту у файлі налаштувань JOSM.
2. Ваш пароль OSM буде переданий тільки раз через Інтернет в зашифрованому вигляді, на відміну від базової автентифікації, де пароль OSM передається кожного разу як частина запиту, який JOSM надсилає до сервера OSM у вигляді простого тексту .

В термінах OAuth, користувач JOSM надає дозвіл JOSM’у на доступ до сервера OSM від імені користувача. Впродовж процесу авторизації ніколи не потрібно вводити пароль OSM в діалозі JOSM, якщо користувач не повністю довіряє JOSM’у (на відміну від бажання отримати додаткові зручності, про що йдеться трохи нижче). Вірніше, сервер OSM надасть Мітку доступу за допомогою якої JOSM буде представлятись серверу OSM під час надсилання даних від імені користувача. Мітка доступу не розголошує пароль користувача і її можна відкликати у будь-який момент.

Розширений сценарій використання — делегування доступу іншим картографам

Розширеним сценарієм використання OAuth є делегування доступу до вашого облікового запису OSM іншим картографам. OAuth дозволяє вам надати іншим користувачам обмежений доступ до вашого облікового запису у разі потреби.

Приклад: Степан може надати Остапу право завантажувати його приватні треки GPS з сервера OSM. Степану потрібно створити Мітку доступу OAuth та обмежити її права тільки можливістю "Завантажувати мої приватні треки GPS". Потім Степану треба надіслати листа з Міткою доступу Остапу. Остап тепер може ввести Мітку доступу в JOSM і отримати можливість завантажувати приватні треки GPS Степана з сервера OSM. Остап буде не в змозі надсилати дані від імені Степана, тому що він не знає пароль Степана до його облікового запису в OSM. У будь-який час, Степан може відкликати Мітку доступу надану Остапу.

Майстер авторизації OAuth

Майстер авторизації OAuth знаходиться в Налаштуваннях в розділі Параметри з’єднання.

Що означає автентифікація/авторизація?

Під час надсилання геоданих на сервер OSM вам треба сповістити сервер про те ким ви є. Серверу OSM потрібно ідентифікувати кожного картографа, який надсилає дані, запитуючи його ім’я в OSM. Крім того, серверу OSM потрібно автентифікувати його ідентичність, тобто визначити, чи насправді користувач є тим ким він назвався. Для цього сервер на додачу до імені запитує пароль. З боку сервера допускається, що будь-хто хто знає секретний пароль для імені користувача АБВ надійно проходить перевірку автентичності на те, щоб бути саме користувачем АБВ. Користувач, який увійшов з автентифікованими ім’ям та паролем має право виконувати більш широкий спектр операцій на сервері. Авторизований користувач може надсилати дані, створювати та закривати набори змін, надсилати треки GPS, отримувати та змінювати персональні налаштування на сервері, запрошувати інших користувачів товаришувати, надсилати повідомлення до інших облікових записів та так далі. Зараз неможливо створити обліковий запис в OSM з обмеженими правами, наприклад, такий що матиме змогу тільки надсилати треки GPS, але не в змозі надсилати геодані. Будь-хто хто пройшов автентифікацію за допомоги ім’я користувача та паролю OSM є повністю авторизованим для виконання всіх дій, які може виконувати звичайний користувач на сервері.

Ось де в гру вступає OAuth: OAuth дозволяє вам авторизувати кого-небудь ще для виконання дій від вашого імені з певними обмеженнями. Замість того, щоб роздавати ваші ім’я та пароль в OSM, які надають отримувачу повні права на дії від вашого імені на сервері OSM, ви надаєте тільки «квиток», в якому перелічено делеговані права. Цей квиток називається Міткою доступу. Обмеження, що застосовуються в Мітці доступу включають в себе::

• Мітка доступу дійсна тільки для зазначених клієнтів (в термінології OAuth — споживачі), тобто тільки для JOSM, а не для OpenStreetBugs
• Мітка доступу дійсна тільки для виконання певних дій, наприклад, для надсилання треків GPS, а не для надсилання геоданих
• Мітка доступу може бути дійсною лише впродовж певного часу, наприклад, лише сьогодні, але це покищо не підтримується сервером OSM

На додачу до пари ім’я/пароль, сервер OSM також приймає Мітки доступу OAuth для автентифікації та авторизації користувачів. Більш конкретно, він приймає запити підписані такої міткою, але це тлумачення цього виходить за межі цієї довідки.

Майстер авторизації OAuth дозволяє вам отримувати дійсні Мітки доступу OAuth, за умови що у вас є ім’я та пароль в OSM, або вводити та використовувати Мітку доступу в JOSM, отриману від особи, яка має ім’я та пароль в OSM.

Автоматизований процес авторизації

Найпростіший спосіб отримати Мітку доступу це дозволити JOSM отримати її в автоматичному режимі з сервера OSM.

1. Крок 1/3 — Відкрийте вікно налаштувань

Натисніть на кнопку Налаштування на панелі інструментів. У вікні оберіть вкладку Параметри з’єднання.

2. Крок 2/3 — Отримайте Мітку доступу

Введіть ваше ім’я користувача та пароль в OSM та натисніть Авторизуватись.

3. Крок 3/3 — Прийміть Мітку доступу - Accept the Access Token

JOSM покаже отриману Мітку доступу.

• Уберіть прапорець з Зберегти мітку доступу у налаштуваннях якщо ви не бажаєте зберегти її у налаштуваннях JOSM. Якщо ви не збережете Мітку доступ вона буде втрачена після виходу з JOSM. Після повторного запуску JOSM вам доведеться отримати її наново, якщо ви бажаєте працювати, використовуючи автентифікацію на основі OAuth.
• Натисніть Перевірити мітку доступу для її перевірки
• Натисніть Прийняти мітку доступу, щоб застосувати її.

Обмеження делегованих повноважень

Під час автоматизованого отримання Мітки доступу JOSM делегує п’ять повноважень:

• право надсилати дані на сервер OSM
• право надсилати треки GPS на сервер OSM
• право отримувати приватні треки GPS з сервера OSM
• право зчитувати налаштування збережені на сервері OSM
• право на запис налаштувань, які зберігаються на сервері OSM

Всі вони є типово увімкненими. Якщо ви бажаєте обмежити повноваження:

1. Оберіть вкладку Надані права
2. Зніміть прапорці з повноважень, які ви не бажаєте делегувати через Мітку доступу

Розширені параметри OAuth

Коли JOSM в автоматичному режимі запитує та отримує ​Мітку доступу, він використовує типові значення параметрів OAuth. Досвідчені користувачі можуть змінити ці параметри

• для того, щоб мати змогу використовувати різні Мітки користувача (що складаються з Ключа користувача та Таємного ключа користувача). Це дозволить вам створити вашу власну Мітку користувача для JOSM ти використовувати її.
• для того, щоб використовувати Мітку доступу на серверах відмінних від стандартного сервера OSM. Наприклад, це дозволяє користувачам використовувати OAuth для доступу до сервера розробки OSM чи для локально встановленого сервера OSM.

Для того, щоб змінити Розширені параметри OAuth

1. Перейдіть на вкладку Розширені параметри OAuth
2. Зніміть прапорець Викориситовувати типові налаштування
3. Введіть значення для п’ятьох параметрів OAuth

Напівавтоматичний процес авторизації

You can also retrieve an Access Token semi-automatically. If you use this process you have to use both dialogs in JOSM and the OSM website launched in an external browser to create and authorise the Access Token. In contrast to the fully automatic process you never have to enter your OSM username or your OSM password into a JOSM dialog. This process is therefore suitable for a user which - for whatever reason - never wants to use their OSM password outside of the secure login page of the OSM website. The fully automatic process runs exactly the same steps that would run manually in the semi-automatic process, just without your intervention.

1. Step 1/3 - Get the Request Token

Click on Retrieve Request Token to retrieve an OAuth Request Token.

2. Step 2/3 - Authorise the Request Token in an external browser

JOSM now launches an external browser with the OSM website. Please login and follow the instructions. Then switch back to the OAuth Authorisation Wizard and click on Retrieve Access Token.

3. Step 3/3 - Accept the Access Token

JOSM displays the retrieved Access Token. Click on Accept Access Token to accept it.

Advanced OAuth parameters

When JOSM semi-automatically requests and authorises an Access Token, it uses default values for the OAuth parameters. Advanced users may want to change these parameters

• in order to use a different Consumer Token (consisting of a Consumer Key and a Consumer Secret). This allows you to create your own Consumer Token for JOSM and then use it in JOSM.
• in order to use it on a different than the standard OSM server. For instance, this allows users to use OAuth with an OSM development server or with a local installation of the OSM server application.

In order to edit the Advanced OAuth parameters

1. Select the checkbox Display Advanced OAuth Parameters
2. Enter your values for the five OAuth parameters

Manual authorisation process

The manual authorisation process allows you to enter an arbitrary Access Token. You can use this process

• to enter an Access Token you have kept in a secure place, for instance in a secure store for credentials
• to enter an Access Token you have received from somebody else, for instance from another mapper who granted you restricted account access

1. Step 1/1 - Enter the Access Token and accept it

Enter the Access Token and click on Accept Access Token.

Advanced OAuth parameters

• See advanced preferences in the fully automatic process.

Troubleshooting

• If you are working on a university or corporate network, a firewall may prevent the OAuth authentification request.
  Please check the corresponding connection with your network engineer.

---

Back to Connection settings
Back to Main Help