OAuth 2.0 101

Автор: Judy Howell
Дата На Създаване: 26 Юли 2021
Дата На Актуализиране: 23 Юни 2024
Anonim
OAuth 2.0: An Overview
Видео: OAuth 2.0: An Overview

Съдържание


За вкъщи:

OAuth 2.0 е проектиран да подобри оригиналната версия на протокола. Според неговите критици той успява в някои области, а в други се проваля.

Много луксозни коли се предлагат с ключ за камериер. Това е специален ключ, който давате на служителя за паркиране и за разлика от обикновения ви ключ, ще позволи на автомобила да се управлява само на малко разстояние, като същевременно блокира достъпа до багажника и бордовия мобилен телефон. Независимо от ограниченията, които важи ключът на камериерката, идеята е много умна. Давате на някой ограничен достъп до колата ви със специален ключ, докато използвате друг ключ, за да отключите всичко останало. - Официалното ръководство за OAuth 1.0

Ето как насоките за спецификации в общността обясниха пътя на OAuth през 2007 г. И макар OAuth 2.0 да е напълно нов протокол, същото описание все още се прилага - OAuth остава начин потребителите да предоставят достъп на трети страни (и ограничен достъп) на своите ресурси, без да споделят своите пароли.

Ако редовно сте в Интернет, има вероятност да сте попаднали на сайт, който използва OAuth. В крайна сметка, най-големите уебсайтове в света, като Google, MySpace,, Photobcuket, Yahoo, Evernote и Vimeo, използват този стандарт за удостоверяване. Прочетете, за да научите повече за този стандарт и защо следващото поколение, OAuth 2.0, все още се използва на сравнително експериментална основа.

Какво е OAuth 2.0?

Първо, трябва да знаете какво прави OAuth като протокол: позволява разрешаване на интерфейс за програмиране на интерфейс между две приложения за уеб или десктоп. В резултат уебсайтовете могат да споделят защитени ресурси с други уебсайтове и услуги.

Например, ако играете Scramble с приятели на вашия iPad, можете да въведете своите идентификационни данни, позволявайки на играта да прегледа списъка с приятели, за да видите кой от тях играе в играта - и да поканите други да се присъединят. Или можете да се свържете с приятели в Google+ въз основа на това кой ви следва. Този тип приложения са удобни за потребителите, но включват предоставяне на достъп до един сайт или програма до информация за вас в друг сайт.

OAuth 2.0 работи много като първото въплъщение на OAuth, но е напълно нов стандарт. Това означава, че тя не е обратно съвместима с OAuth 1.0. Версия 2.0 почисти много от проблемите с оригиналния OAuth и направи подобрения.

Макар и основно да запазва архитектурата на първата версия, 2.0 подобрена на:
  • Удостоверяване и подписи. OAuth 2.0 улесни прилагането на протокола на някой от клиента.
  • Потребителско изживяване и алтернативни начини за издаване на жетони
  • Производителност, особено при по-големи уебсайтове и услуги
По-подробно обяснение за новото с OAuth 2.0 дава Еран Хамер, който беше част от работната група OAuth. Можете да получите достъп до него тук. Въпреки това, имайте предвид, че Хамер напусна работната група през юли 2012 г., като се позова на проблеми със загриженост при прилагането на стандарта. В резултат, въпреки че OAuth трябваше да бъде финализиран до края на 2010 г., той остава предложен стандарт (по време на писането), въпреки че е част от s Graph API. Google и Microsoft също експериментират с поддръжката на OAuth 2.0 в своите API.

Ползите от използването на OAuth 2.0

Една от най-добрите причини за използване на OAuth е, че прави споделянето толкова по-лесно. Вече бяхме свикнали да качваме снимки в Instagram и автоматично ги публикуваме в и. Всъщност, този вид лекота на използване и кросоувър, който продължава да прави социалните медии толкова привлекателни.

Но това не е всичко. За крайните потребители OAuth означава, че не е нужно да създавате друг профил. Например, ако искате да оставите коментар към дадена статия, можете да използвате своите или идентификационни данни за това, вместо да се налага да се регистрирате за акаунт в даден уебсайт. Това е чудесно за сайтове, на които обикновено не сте активни или на които може да не се доверите. Той може също да се възползва от сайтовете, като гарантира, че потребителите имат идентичност, което прави спам на коментари по-малко вероятно.

OAuth също означава по-малко пароли, които да запомните. Най-добрата практика е да имате различни пароли за различни услуги на уебсайта. Така че вместо да запомните друга парола за Pinterest, трябва само да използвате паролата си за достъп до услугата. Между другото, Pinterest няма да вижда паролата ви.

Можете също така да ограничите до какви ресурси се достига чрез вашия OAuth. Например, когато играете на игра, можете да посочите дали искате играта да бъде публикувана на вашата стена от ваше име или не.

За разработчика OAuth 2.0 предоставя вече разработен код за удостоверяване, показване на социално взаимодействие и показване на потребителски профил. Това означава по-малко грешки, с които да се справят разработчиците, и по-малък риск, тъй като API вече е отстранен от грешки, тестван и доказан. И накрая, вие също се възползвате от това да имате по-малко данни, които да се съхраняват на вашите собствени сървъри.

Как OAuth 2.0 дойде

Напълно очевидно е, че OAuth е отговор на призива за сигурно изчисляване и лекота на използване за различни уеб услуги. OAuth 2.0, от друга страна, възникна от необходимостта да направи OAuth по-малко сложен. Но цялата идея и за двамата всъщност идва от OpenID.

OpenID е услуга, която позволява на потребителите да влизат в различни услуги, като използват идентификационни данни за вход от друг уебсайт. Но OpenID беше много ограничен, така че група хора, работещи по различни протоколи за разрешение за собствените си сайтове, се събраха. Първите реализации на OAuth бяха направени през 2007 г., а първата ревизия дойде две години по-късно.

OAuth 2.0 излезе на сцената през 2010 г. Целта му беше да се съсредоточи върху простотата на клиента и разработчиците и да бъде по-лесно мащабируема, като същевременно подобри потребителското изживяване.

Предизвикателства?

Въпреки че Google, Klout и други големи имена внедряват OAuth 2.0, все още може да има скалист път от този протокол. Има критики от общността на OAuth 2.0, включително опасения относно сигурността на протоколите (мнозина смятат, че е по-малко сигурна от OAuth 1.0).

Според Hammer, ако се използва от компетентен програмист, който е добре запознат с уеб сигурността, OAuth 2.0 работи. За съжаление, само малка част от разработчиците отговарят на тази сметка.

Освен това кодовете на OAuth 2.0 не могат да се използват повторно. Например, използваните от OAuth 2.0 протоколи не биха били лесно използваеми от друг сайт. Нещо повече, новият протокол всъщност е много по-сложен от оригинала.

Но истинският кикър за много хора е, че OAuth 2.0 изглежда не предлага никакво реално предимство или подобрение над 1.0. Hammer пише, че ако успешно внедрите 1.0, няма причина да надграждате до 2.0.

OAuth 2.0 обаче все още е много жив. Ако се обърне към критиките и повдигнатите въпроси, все пак може да намери място като много мощен протокол. В момента на писането обаче версия 1.0 все още се счита за официалната, стабилна и тествана версия на OAuth. Независимо от това, за разработчиците, които имат за цел да работят с големи имена в онлайн света, прилагането на този протокол сигурно може да се превърне в ключово умение, зададено в не твърде далечното бъдеще.