OAuth 2.0 101

Szerző: Judy Howell
A Teremtés Dátuma: 26 Július 2021
Frissítés Dátuma: 23 Június 2024
Anonim
OAuth 2.0: An Overview
Videó: OAuth 2.0: An Overview

Tartalom


Elvitel:

Az OAuth 2.0-at úgy fejlesztették ki, hogy javítsák a protokoll eredeti verzióját. Kritikusai szerint bizonyos területeken sikeres, másutt pedig kudarcot vall.

Sok luxusautó őrzött kulccsal rendelkezik. Ez egy speciális kulcs, amelyet a parkoló kísérőjének ad, és a szokásos kulccsal ellentétben az autó csak rövid távolságot tesz lehetővé, miközben akadályozza a hozzáférést a csomagtartóhoz és a fedélzeti mobiltelefonhoz. Az ötlet kulcsa által előírt korlátozásoktól függetlenül az ötlet nagyon okos. Különleges kulccsal korlátozott hozzáférést biztosít az autójához, miközben egy másik kulccsal nyitja meg az összes mást. - Az OAuth 1.0 hivatalos útmutatója

Így magyarázza a közösségi alapú specifikációs iránymutatások az OAuth-ot 2007-ben. És bár az OAuth 2.0 egy teljesen új protokoll, ugyanaz a leírás továbbra is érvényes - az OAuth továbbra is a felhasználók számára lehetővé teszi harmadik felek számára hozzáférést (és korlátozott hozzáférést) a erőforrások jelszó megosztása nélkül.

Ha rendszeresen használja az internetet, akkor valószínű, hogy az OAuth szolgáltatást használó webhelyen találkozott. Végül is a világ legnagyobb webhelye, például a Google, a MySpace, a Photobcuket, a Yahoo, az Evernote és a Vimeo, ezt a hitelesítési szabványt használja. Olvassa tovább, hogy többet megtudjon erről a szabványról, és arról, hogy az OAuth 2.0 következő generációját miért használják még mindig viszonylag kísérleti alapon.

Mi az OAuth 2.0?

Először is tudnia kell, hogy az OAuth mint protokoll mit tesz: Ez lehetővé teszi az alkalmazásprogramozási felület hitelesítését két webes vagy asztali alkalmazás között. Ennek eredményeként a webhelyek képesek megosztani a védett erőforrásokat más webhelyekkel és szolgáltatásokkal.

Például, ha a Scramble-ot a barátaiddal játsszuk az iPad készüléken, beírhatja a hitelesítő adatait, lehetővé téve a játéknak, hogy átnézze a barátok listáját, hogy megnézze, melyikük játszik a játékot, és meghívhat másokat csatlakozni. Vagy kapcsolatba léphet a barátaival a Google+ szolgáltatásban, az alapján, aki követ téged. Az ilyen típusú alkalmazások praktikusak a felhasználók számára, de magukban foglalják, hogy egy webhely vagy program hozzáférést biztosít egy másik webhelyen található rólad kapcsolatos információkhoz.

Az OAuth 2.0 hasonlóan működik, mint az OAuth első inkarnációja, de ez teljesen új szabvány. Ez azt jelenti, hogy nem kompatibilis az OAuth 1.0-zal. A 2.0-s verzió tisztította az eredeti OAuth számos problémáját, és javításokat végzett.

Miközben alapvetően megőrizte az első verzió architektúráját, a 2.0 tovább javult:
  • Hitelesítés és aláírások. Az OAuth 2.0 megkönnyítette az ügyféloldal valaki számára a protokoll megvalósítását.
  • Felhasználói élmény és tokenek kiadásának alternatív módjai
  • Teljesítmény, különösen nagyobb webhelyek és szolgáltatások esetén
Az OAuth 2.0 újdonságainak átfogóbb ismertetését Eran Hammer nyújtja, aki régen az OAuth munkacsoport tagja volt. Itt érheti el. Ne feledje azonban, hogy Hammer 2012 júliusában távozott a munkacsoportból, és a szabvány végrehajtása során a biztonsági aggályokkal kapcsolatos kérdésekre hivatkozott. Ennek eredményeként, bár az OAuth-nak 2010 végére kellett elkészülniük, továbbra is javasolt szabványnak (az írás idején) marad, bár része a s Graph API-nak. A Google és a Microsoft szintén kísérletezik az OAuth 2.0 támogatással API-kban.

Az OAuth 2.0 használatának előnyei

Az OAuth használatának egyik legjobb oka az, hogy ez sokkal könnyebbé teszi a megosztást. Már hozzászoktam a fényképek feltöltéséhez az Instagram-ba, és automatikusan elküldtem őket a és a helyre. Valójában ennek a könnyű használatnak és átjárhatóságnak köszönhetően a közösségi média továbbra is olyan vonzó.

De ez nem minden. A végfelhasználók számára az OAuth azt jelenti, hogy nem kell új profilt létrehoznia. Például, ha kommentárt szeretne fűzni egy cikkhez, akkor a megadott adatokkal vagy hitelesítő adataival használhatja ahelyett, hogy egy adott webhelyen regisztrálnia kellene egy fiókot. Ez nagyszerű webhelyek számára, ahol általában nem aktív, vagy amelyekben nem bíznak meg. Előnyei lehetnek a webhelyeknek is, mivel biztosítják, hogy a felhasználók személyazonossággal rendelkezzenek, és így kevésbé valószínűvé teszik a megjegyzés spamjét.

Az OAuth kevesebb jelszót is jelent. A bevált gyakorlat az, hogy különböző jelszavakkal rendelkezzenek a különböző webhelyszolgáltatásokhoz. Tehát ahelyett, hogy egy másik jelszót megjegyezne a Pinterest számára, csak a jelszavát kell használnia a szolgáltatás eléréséhez. Egyébként a Pinterest nem fogja látni a jelszavát.

Azt is korlátozhatja, hogy milyen erőforrásokhoz férjen hozzá az OAuth. Például, amikor egy játékot játszik, megadhatja, hogy a játékot a falára tegye-e az ön nevében.

A fejlesztő számára az OAuth 2.0 már kifejlesztett kódot nyújt a hitelesítéshez, a társadalmi interakció megjelenítéséhez és a felhasználói profil megjelenítéséhez. Ez kevesebb hibát jelent a fejlesztők számára, és kevesebb kockázatot jelent, mivel az API-t már hibakeresés, tesztelés és bebizonyítás érte. Végül az is előnye, hogy kevesebb adatot kell tárolnia a saját szerverein.

Hogy lehet az OAuth 2.0

Teljesen nyilvánvaló, hogy az OAuth válasz a biztonságos számítástechnika és a különféle webszolgáltatások egyszerű használatának felhívására. Az OAuth 2.0 ezzel szemben az OAuth kevésbé összetetté tételének szükségességéből fakadt. De a két ötlet valójában az OpenID-ből származik.

Az OpenID egy szolgáltatás, amely lehetővé tette a felhasználók számára, hogy bejelentkezzenek a különböző szolgáltatásokba egy másik webhely bejelentkezési adatainak felhasználásával. Az OpenID azonban nagyon korlátozott volt, tehát a saját webhelyükön különféle engedélyezési protokollokon dolgozó emberek csoportja összegyűlt. Az első OAuth-megvalósítás 2007-ben történt meg, az első felülvizsgálat két évvel később.

Az OAuth 2.0 2010-ben érkezett a színpadra. Célja az volt, hogy az ügyfél-fejlesztő egyszerűségére összpontosítson, és könnyebben méretezhető legyen, miközben javítja a felhasználói élményt.

Kihívások előtt?

Noha a Google, a Klout és más nagynevek az OAuth 2.0-t implementálják, előfordulhat, hogy egy sziklás út vezet ezen a protokollon. Az OAuth 2.0 közösség részéről kritikák vannak, beleértve a protokollok biztonságával kapcsolatos aggodalmakat (sokan úgy vélik, hogy kevésbé biztonságos, mint az OAuth 1.0).

Hammer szerint, ha egy hozzáértő programozó használja, aki jól ismeri a webbiztonságot, akkor az OAuth 2.0 működik. Sajnos a fejlesztőknek csak kis része illeszkedik ehhez a számlához.

Ezenkívül az OAuth 2.0 kódok nem használhatók újra. Például az OAuth 2.0 protokoll, amelyet használ, nem lenne könnyen használható más webhelyen. Sőt, az új protokoll valójában sokkal összetettebb, mint az eredeti.

De sok ember számára az a tény, hogy az OAuth 2.0 valószínűleg nem jelent előnyt vagy javulást az 1.0-nál. Hammer azt írja, hogy ha sikeresen telepíti az 1.0-t, akkor nem indokolt frissíteni a 2.0-ra.

Az OAuth 2.0 azonban még mindig nagyon él. Ha foglalkozik a felvetett kritikákkal és kérdésekkel, akkor is találhat helyet nagyon erős protokollként. Az írás idején azonban az 1.0 verziót továbbra is az OAuth hivatalos, stabil és tesztelt verziójának tekintik. Mindazonáltal azoknak a fejlesztőknek, akik az online világban nagy nevekkel szeretnének dolgozni, e protokoll biztonságos végrehajtása a nem túl távoli jövőben kulcsfontosságú készséggé válhat.