OAuth 2.0 101

Avtor: Judy Howell
Datum Ustvarjanja: 26 Julij. 2021
Datum Posodobitve: 23 Junij 2024
Anonim
OAuth 2.0: An Overview
Video.: OAuth 2.0: An Overview

Vsebina


Odvzem:

OAuth 2.0 je bil zasnovan tako, da je izboljšal prvotno različico protokola. Po mnenju kritikov na nekaterih področjih uspe, na drugih pa ne.

Veliko luksuznih avtomobilov je na voljo s ključem za valet. To je poseben ključ, ki ga daste parkirnemu osebju in bo za razliko od vašega običajnega ključa dovolil vožnjo avtomobila le na kratke razdalje, hkrati pa preprečil dostop do prtljažnika in mobilnega telefona na vozilu. Ne glede na omejitve, ki jih nalaga ključ, je ideja zelo pametna. Nekomu omogočite omejen dostop do vašega avtomobila s posebnim ključem, medtem ko uporabite drugo tipko za odklepanje vsega drugega. - Uradni vodnik za OAuth 1.0

Tako so smernice za specifikacije v skupnosti razložile OAuth še leta 2007. In čeprav je OAuth 2.0 povsem nov protokol, velja še vedno isti opis - OAuth še naprej ostaja način, kako uporabnikom omogočiti dostop tretjim osebam (in omejen dostop) svojim virov brez skupne rabe gesel.

Če ste redno v internetu, obstaja velika verjetnost, da ste naleteli na spletno mesto, ki uporablja OAuth. Navsezadnje največja spletna mesta na svetu, kot so Google, MySpace,, Photobcuket, Yahoo, Evernote in Vimeo, uporabljajo ta standard za preverjanje pristnosti. Preberite si, če želite izvedeti več o tem standardu in zakaj se naslednja generacija, OAuth 2.0, še vedno uporablja na relativno eksperimentalni osnovi.

Kaj je OAuth 2.0?

Najprej morate vedeti, kaj počne OAuth kot protokol: omogoča odobritev vmesnika za programiranje aplikacij med dvema spletnima ali namiznima programoma. Posledično lahko spletna mesta delijo zaščitene vire z drugimi spletnimi mesti in storitvami.

Če na primer v iPadu igrate Scramble s prijatelji, lahko vnesete svoje poverilnice in tako igro omogočite, da si ogleda seznam prijateljev, da vidi, kdo od njih igra - in povabite druge, da se pridružijo. Lahko pa se povežete s prijatelji v storitvi Google+ glede na to, kdo vas spremlja. Te vrste aplikacij so za uporabnike priročne, vključujejo pa dostop do enega spletnega mesta ali programa do informacij o vas na drugem spletnem mestu.

OAuth 2.0 deluje podobno kot prva inkarnacija OAuth, vendar je popolnoma nov standard. To pomeni, da ni združljiv z OAuth 1.0 za nazaj. Različica 2.0 je odpravila številne težave z originalnim OAuthom in izboljšala.

Čeprav je v osnovi ohranil arhitekturo prve različice, se je 2.0 izboljšal na:
  • Preverjanje pristnosti in podpisi. OAuth 2.0 je nekomu na strani odjemalca olajšal izvajanje protokola.
  • Uporabniška izkušnja in alternativni načini izdaje žetonov
  • Zmogljivost, zlasti pri večjih spletnih mestih in storitvah
Obsežnejšo razlago o tem, kaj je novega z OAuth 2.0, ponuja Eran Hammer, ki je bil del delovne skupine OAuth. Do njega lahko dostopate tukaj. Vendar pa upoštevajte, da je Hammer delovno skupino zapustil julija 2012, pri čemer je navedel vprašanja z varnostnimi pomisleki pri izvajanju standarda. Čeprav naj bi bil OAuth dokončan do konca leta 2010, je še vedno predlagani standard (v času pisanja), čeprav je del s Graph API-ja. Google in Microsoft prav tako eksperimentirata s podporo za OAuth 2.0 v svojih API-jih.

Prednosti uporabe OAuth 2.0

Eden najboljših razlogov za uporabo OAuth je, da je skupna raba toliko lažja. Že smo bili uporabljeni za nalaganje fotografij v Instagram in jih samodejno objavljali v. Pravzaprav je tovrstna enostavnost uporabe in križanja, ki še naprej naredi tako privlačne družbene medije.

A to še ni vse. Za končne uporabnike OAuth pomeni, da vam ni treba ustvariti drugega profila. Če želite na primer pustiti komentar na članek, lahko za to uporabite svoje ali poverilnice, namesto da bi se morali prijaviti za račun na določenem spletnem mestu. To je super za spletna mesta, na katerih običajno niste dejavni ali ki jim morda ne zaupate. Spletna mesta lahko koristijo tudi tako, da zagotovijo identiteto uporabnikov, zaradi česar je neželena vsebina komentarjev manj verjetna.

OAuth pomeni tudi manj gesel, ki si jih morate zapomniti. Najboljša praksa je, da imate različna gesla za različne storitve spletnega mesta. Torej, namesto da zapomnite drugo geslo za Pinterest, morate za dostop do storitve uporabiti le svoje geslo. Pinterest, mimogrede, ne bo videl vašega gesla.

Prav tako lahko omejite, do katerih virov je dostopen prek vašega OAuth. Na primer, ko igrate igro, lahko določite, ali želite igro objaviti na vašem zidu v vašem imenu ali ne.

OAuth 2.0 za razvijalca ponuja že razvito kodo za preverjanje pristnosti, prikaz socialne interakcije in prikaz uporabniškega profila. To pomeni manj napak, s katerimi se lahko spopadajo razvijalci, in manjše tveganje, ker je bil API že odpravljen, odpravljen in preizkušen. Nenazadnje imate tudi koristi od tega, da shranite manj podatkov na svoje strežnike.

Kako je OAuth 2.0 prišel

Povsem očitno je, da je OAuth odziv na poziv k varnemu računalništvu in enostavni uporabi za različne spletne storitve. Po drugi strani je OAuth 2.0 izhajal iz potrebe, da je OAuth manj zapleten. Toda celotna ideja za oba je pravzaprav prišla iz OpenID-a.

OpenID je storitev, ki je uporabnikom omogočala prijavo v različne storitve z uporabo poverilnic za prijavo z drugega spletnega mesta. Toda OpenID je bil zelo omejen, zato se je skupina ljudi, ki delajo na različnih avtorizacijskih protokolih za lastna spletna mesta, zbrala. Prve izvedbe OAuth so bile izvedene leta 2007, prva revizija pa je prišla dve leti kasneje.

OAuth 2.0 je na sceno prišel leta 2010. Njen namen je bil osredotočiti se na preprostost razvijalca za stranke in biti lažje prilagodljiv, hkrati pa izboljšati uporabniško izkušnjo.

Izzivi pred nami?

Čeprav Google, Klout in druga velika imena izvajajo OAuth 2.0, je pred tem protokolom lahko še vedno skalnata pot. Znotraj skupnosti OAuth 2.0 obstajajo kritike, vključno s pomisleki glede varnosti protokolov (mnogi menijo, da je ta manj varna kot OAuth 1.0).

Po besedah ​​Hammerja OAuth 2.0 deluje, če ga uporablja pristojni programer, ki dobro pozna spletno varnost. Na žalost temu računu ustreza le manjšina razvijalcev.

Poleg tega OAuth 2.0 kode ni mogoče ponovno uporabiti. Na primer, protokoli OAuth 2.0, ki jih uporabljajo, ne bi bili zlahka uporabni na drugih spletnih mestih. Še več, nov protokol je pravzaprav veliko bolj zapleten kot original.

Toda pravi zalogaj mnogih ljudi je, da se zdi, da OAuth 2.0 ne ponuja nobenih resničnih prednosti ali izboljšav nad 1.0. Hammer piše, da če uspešno izvajate 1.0, ni razloga za nadgradnjo na 2.0.

OAuth 2.0 pa je še vedno zelo živ. Če obravnava kritike in vprašanja, ki se pojavljajo, morda še vedno najde mesto kot zelo močan protokol. V času pisanja pa različica 1.0 še vedno velja za uradno, stabilno in preizkušeno različico OAuth. Kljub temu pa lahko za razvijalce, ki želijo sodelovati z velikimi imeni v spletnem svetu, varno izvajanje tega protokola postane ključna spretnost, ki je postavljena v ne preveč oddaljeni prihodnosti.