OAuth 2.0 101

Autors: Judy Howell
Radīšanas Datums: 26 Jūlijs 2021
Atjaunināšanas Datums: 23 Jūnijs 2024
Anonim
OAuth 2.0: An Overview
Video: OAuth 2.0: An Overview

Saturs


Izņemšana:

OAuth 2.0 tika izstrādāts, lai uzlabotu sākotnējo protokola versiju. Pēc tās kritiķu domām, dažās jomās tas izdodas, bet citās - neveiksmīgs.

Daudzām luksusa automašīnām ir sulainis. Tā ir īpaša atslēga, kuru jūs piešķirat stāvvietas pavadoņam, un, atšķirībā no parastās atslēgas, tā ļaus nobraukt ar automašīnu tikai nelielu attālumu, vienlaikus bloķējot piekļuvi bagāžniekam un mobilajam tālrunim. Neatkarīgi no sulainis atslēgas noteiktajiem ierobežojumiem šī ideja ir ļoti gudra. Jūs kādam piešķirat ierobežotu piekļuvi jūsu automašīnai ar īpašu atslēgu, vienlaikus izmantojot citu atslēgu, lai atbloķētu visu pārējo. - Oficiālā rokasgrāmata OAuth 1.0

Tas ir tas, kā sabiedrībā balstītās specifikāciju vadlīnijas izskaidroja OAuth tālajā 2007. gadā. Kaut arī OAuth 2.0 ir pilnīgi jauns protokols, joprojām tiek piemērots tas pats apraksts - OAuth joprojām ir veids, kā lietotāji lietotājiem piešķir trešo personu piekļuvi (un ierobežotu piekļuvi) resursus, nedaloties ar parolēm.

Ja regulāri izmantojat internetu, iespējams, esat saskāries ar vietni, kas izmanto OAuth. Galu galā pasaules lielākajās vietnēs, piemēram, Google, MySpace, Photobcuket, Yahoo, Evernote un Vimeo, tiek izmantots šis autentifikācijas standarts. Lasiet tālāk, lai uzzinātu vairāk par šo standartu un to, kāpēc nākamās paaudzes OAuth 2.0 joprojām tiek izmantots salīdzinoši eksperimentāli.

Kas ir OAuth 2.0?

Pirmkārt, jums jāzina, ko dara OAuth kā ​​protokols: Tas ļauj lietotņu programmēšanas interfeisa autorizāciju starp divām tīmekļa vai darbvirsmas lietotnēm. Tā rezultātā vietnes var koplietot aizsargātos resursus ar citām vietnēm un pakalpojumiem.

Piemēram, ja spēlējat Scramble ar draugiem savā iPad, jūs varētu ievadīt savus akreditācijas datus, ļaujot spēlei izskatīt draugu sarakstu, lai redzētu, kuri no viņiem spēlē spēli, un uzaicināt citus pievienoties. Vai arī jūs varat sazināties ar draugiem pakalpojumā Google+, pamatojoties uz to, kurš seko jums. Šāda veida lietojumprogrammas ir ērtas lietotājiem, taču tās paredz piekļuves piešķiršanu vienai vietnei vai programmai citai vietnei paredzētai informācijai par jums.

OAuth 2.0 darbojas līdzīgi kā pirmais OAuth iemiesojums, taču tas ir pilnīgi jauns standarts. Tas nozīmē, ka tā nav savietojama ar OAuth 1.0. Versija 2.0 iztīrīja daudzas problēmas ar sākotnējo OAuth un veica uzlabojumus.

Pamatā saglabājot pirmās versijas arhitektūru, 2.0 tika uzlabota uz:
  • Autentifikācija un paraksti. OAuth 2.0 kādam klienta pusē protokola ieviešanu padarīja vieglāku.
  • Lietotāju pieredze un alternatīvi žetonu izsniegšanas veidi
  • Veiktspēja, īpaši ar lielākām vietnēm un pakalpojumiem
Pilnīgāku skaidrojumu par OAuth 2.0 jaunumiem sniedz Erans Hammers, kurš agrāk bija OAuth darba grupas loceklis. Tam varat piekļūt šeit. Tomēr ņemiet vērā, ka Hammer pameta darba grupu 2012. gada jūlijā, minot drošības problēmas, ieviešot standartu. Tā rezultātā, kaut arī bija paredzēts, ka OAuth tiks pabeigts līdz 2010. gada beigām, tas joprojām ir ierosinātais standarts (rakstīšanas laikā), kaut arī tas ir daļa no s Graph API. Google un Microsoft arī eksperimentē ar OAuth 2.0 atbalstu savās API.

OAuth 2.0 lietošanas priekšrocības

Viens no labākajiem OAuth izmantošanas iemesliem ir tas, ka tas atvieglo kopīgošanu. Mēs jau bijām pieraduši augšupielādēt fotoattēlus Instagram un likt tiem automātiski izlikt ziņas un. Faktiski tā ir šāda veida lietošanas vienkāršība un pāriešana, kas turpina padarīt sociālos medijus tik pievilcīgus.

Bet tas nav viss. Galalietotājiem OAuth nozīmē, ka jums nav jāizveido cits profils. Piemēram, ja vēlaties komentēt rakstu, varat izmantot savus vai akreditācijas datus, tā vietā, lai reģistrētos kontā attiecīgajā vietnē. Tas ir lieliski piemērots vietnēm, kurās parasti nedarbojas, vai kurām neuzticaties. Tas var arī dot labumu vietnēm, nodrošinot lietotāju identitāti, padarot komentāru surogātpastu mazāku.

OAuth nozīmē arī mazāk paroles, ko atcerēties. Tā ir labākā prakse, ja dažādiem vietnes pakalpojumiem ir dažādas paroles. Tātad, tā vietā, lai iegaumētu citu Pinterest paroli, jums tikai jāizmanto sava parole, lai piekļūtu pakalpojumam. Starp citu, Pinterest paradis redzēt jūsu paroli.

Varat arī ierobežot resursus, kuriem piekļūst, izmantojot jūsu OAuth. Piemēram, spēlējot spēli, jūs varat norādīt, vai vēlaties, lai spēle jūsu vārdā tiktu izlikta uz sienas.

Izstrādātājam OAuth 2.0 nodrošina jau izstrādātu kodu autentifikācijai, sociālās mijiedarbības displejam un lietotāja profila parādīšanai. Tas nozīmē mazāk kļūdu izstrādātājiem, ar kurām jācīnās, un mazāks risks, jo API jau ir atkļūdota, pārbaudīta un pārbaudīta. Visbeidzot, jūs gūstat labumu arī no tā, ka jūsu serveros ir mazāk datu.

Kā radās OAuth 2.0

Ir diezgan acīmredzami, ka OAuth ir atbilde uz aicinājumu nodrošināt drošu skaitļošanu un dažādu Web pakalpojumu ērtu lietošanu. Turpretī OAuth 2.0 radās nepieciešamība padarīt OAuth mazāk sarežģītu. Bet visa ideja abiem faktiski nāca no OpenID.

OpenID ir pakalpojums, kas ļāva lietotājiem pieteikties dažādos pakalpojumos, izmantojot pieteikšanās akreditācijas datus no citas vietnes. Bet OpenID bija ļoti ierobežots, tāpēc pulcējās cilvēku grupa, kas strādā pie dažādiem autorizācijas protokoliem savām vietnēm. Pirmās OAuth ieviešanas tika veiktas 2007. gadā, un pirmā revīzija notika divus gadus vēlāk.

OAuth 2.0 uz skatuves ieradās 2010. gadā. Tās mērķis bija koncentrēties uz klienta-izstrādātāja vienkāršību un būt vieglāk pielāgojamam, vienlaikus uzlabojot arī lietotāju pieredzi.

Izaicinājumi priekšā?

Lai arī Google, Klout un citi lielie vārdi ievieš OAuth 2.0, tomēr, iespējams, šajā protokolā vēl ir priekšā akmeņains ceļš. OAuth 2.0 kopiena kritizē, tostarp bažas par protokolu drošību (daudzi uzskata, ka tā ir mazāk droša nekā OAuth 1.0).

Pēc Hammera teiktā, ja to izmanto kompetents programmētājs, kurš labi pārzina tīmekļa drošību, OAuth 2.0 darbojas. Diemžēl tikai neliela daļa izstrādātāju atbilst šim rēķinam.

Turklāt OAuth 2.0 kodi nav atkārtoti izmantojami. Piemēram, citi izmantotie OAuth 2.0 protokoli nebūtu viegli izmantojami citās vietnēs. Turklāt jaunais protokols faktiski ir daudz sarežģītāks nekā oriģināls.

Bet patiesībā daudziem cilvēkiem šķiet, ka OAuth 2.0 nepiedāvā nekādas reālas priekšrocības vai uzlabojumus virs 1.0. Hammer raksta, ka, ja jūs veiksmīgi ieviesīsit 1.0, nav iemesla jaunināt uz 2.0.

Tomēr OAuth 2.0 joprojām ir ļoti aktīvs. Ja tas pievēršas izvirzītajai kritikai un jautājumiem, tas joprojām var atrast vietu kā ļoti spēcīgs protokols. Rakstīšanas laikā versija 1.0 joprojām tiek uzskatīta par oficiālo, stabilo un pārbaudīto OAuth versiju. Neskatoties uz to, izstrādātājiem, kuru mērķis ir tiešsaistes pasaulē strādāt ar lieliem vārdiem, droša šī protokola ieviešana var kļūt par galveno prasmju kopu ne pārāk tālā nākotnē.