OAuth 2.0 101

Autor: Judy Howell
Loomise Kuupäev: 26 Juuli 2021
Värskenduse Kuupäev: 23 Juunis 2024
Anonim
OAuth 2.0: An Overview
Videot: OAuth 2.0: An Overview

Sisu


Ära võtma:

OAuth 2.0 eesmärk oli parandada protokolli algversiooni. Kriitikute sõnul õnnestub see mõnes valdkonnas ja teistes ebaõnnestub.

Paljud luksusautod tulevad koos sularahavõtmega. See on spetsiaalne võti, mille annate parklate saatjale ja erinevalt tavalisest võtmest lubab auto juhtida vaid lühikese vahemaa tagant, takistades samal ajal juurdepääsu pagasiruumi ja pardatelefonile. Sõltumata sularahavõtme kehtestatud piirangutest, on idee väga nutikas. Te annate spetsiaalse võtmega kellelegi piiratud juurdepääsu teie autole, samal ajal kui kasutate teise võtme kõige muu lukustamiseks. - OAuthi ametlik juhend 1.0

See, kuidas kogukonnapõhised spetsifikatsioonijuhised OAuthi selgitasid 2007. aastal. Ja kuigi OAuth 2.0 on täiesti uus protokoll, kehtib endiselt sama kirjeldus - OAuth jääb kasutajatele võimaluseks anda kolmandatele isikutele juurdepääs (ja piiratud juurdepääs) oma ressursse ilma paroole jagamata.

Kui olete regulaarselt Internetis, on tõenäoline, et olete kohanud mõnda saiti, mis kasutab OAuthi. Lõppude lõpuks kasutavad seda autentimisstandardit maailma suurimad veebisaidid, näiteks Google, MySpace, Photobcuket, Yahoo, Evernote ja Vimeo. Lugege selle standardi kohta lisateabe saamiseks ja selle kohta, miks järgmist põlvkonda OAuth 2.0 endiselt suhteliselt eksperimentaalselt kasutatakse.

Mis on OAuth 2.0?

Esiteks peate teadma, mida OAuth kui protokoll teeb: See võimaldab rakenduse programmeerimisliidese autoriseerimist kahe veebi- või töölauarakenduse vahel. Selle tulemusel saavad veebisaidid jagada kaitstud ressursse teiste veebisaitide ja teenustega.

Näiteks kui mängite oma iPadis sõpradega Scramble, võite sisestada oma mandaadi, lubades mängul vaadata läbi oma sõprade nimekirja, et näha, millised neist mängivad mängu - ja kutsuda teisi liituma. Või võite luua kontakti teenusega Google+ sõpradega selle põhjal, kes teid jälgib. Seda tüüpi rakendused on kasutajatele mugavad, kuid need hõlmavad juurdepääsu andmist ühele saidile või programmile teie saidi teabele teisel saidil.

OAuth 2.0 töötab sarnaselt OAuthi esimesele kehastusele, kuid see on täiesti uus standard. See tähendab, et see ei ühildu OAuth 1.0-ga tagasi. Versioon 2.0 puhastas paljusid algse OAuthi probleeme ja tegi parandusi.

Põhimõtteliselt säilitades esimese versiooni arhitektuuri, täiustati 2.0 järgmistel versioonidel:
  • Autentimine ja allkirjad. OAuth 2.0 lihtsustas protokolli juurutamist kliendipoolsel osal.
  • Kasutajakogemus ja alternatiivsed viisid žetoonide väljastamiseks
  • Toimivus, eriti suuremate veebisaitide ja teenuste puhul
Põhjalikuma selgituse selle kohta, mis on OAuth 2.0-ga seoses uus, annab Eran Hammer, kes kuulus varem OAuth-i töörühma. Sellele pääsete juurde siit. Pange aga tähele, et Hammer lahkus töörühmast 2012. aasta juulis, viidates standardi rakendamisel turvalisuse probleemidele. Selle tulemusel, ehkki OAuth pidi valmima 2010. aasta lõpuks, jääb see endiselt kavandatavaks standardiks (selle kirjutamise ajal), ehkki see on osa graafiku API-st. Google ja Microsoft katsetavad ka oma API-de OAuth 2.0 tuge.

OAuth 2.0 kasutamise eelised

Üks parimatest põhjustest OAuthi kasutamiseks on see, et see muudab jagamise palju lihtsamaks. Olime juba harjunud fotosid Instagrami üles laadima ja laskma neil automaatselt postitusse ja. Tegelikult on just selline kasutusmugavus ja crossover sotsiaalmeedias jätkuvalt ahvatlev.

Kuid see pole veel kõik. Lõppkasutajate jaoks tähendab OAuth, et te ei pea uut profiili looma. Näiteks kui soovite kommentaari kirjutada mõnele artiklile, saate selleks kasutada oma volikirju või selle asemel, et teatud veebisaidil kontole registreeruda. See sobib suurepäraselt saitidele, kus tavaliselt pole aktiivne või mida te ei pruugi usaldada. See võib saitidele ka kasuks tulla, tagades kasutajate identiteedi, muutes kommentaaride rämpsposti vähem tõenäoliseks.

OAuth tähendab ka vähem paroole, mida meeles pidada. Parim tava on, et erinevate veebisaiditeenuste jaoks on erinevad paroolid. Seega peate Pinteresti mõne teise parooli meeldejätmise asemel kasutama teenuse kasutamiseks ainult oma parooli. Muide, Pinterest ei näe teie parooli.

Samuti saate piirata, millistele ressurssidele teie OAuthi kaudu juurde pääseb. Näiteks saate mängu mängides täpsustada, kas soovite mängu teie seinale postitada või mitte.

Arendaja jaoks pakub OAuth 2.0 juba välja töötatud koodi autentimiseks, sotsiaalse suhtluse kuvamiseks ja kasutajaprofiili kuvamiseks. See tähendab, et arendajatel on vähem vigu ja madalam oht, kuna API on juba silutud, testitud ja tõestatud. Lõpuks on teile kasulik ka see, kui teie enda serveritesse salvestatakse vähem andmeid.

Kuidas OAuth 2.0 pidi olema

On üsna ilmne, et OAuth on vastus üleskutsele turvalisele andmetöötlusele ja erinevate veebiteenuste kasutamislihtsusele. OAuth 2.0 seevastu tekkis vajadusest muuta OAuth vähem keerukaks. Kuid kogu mõlema idee pärines tegelikult OpenID-st.

OpenID on teenus, mis võimaldas kasutajatel teiselt veebisaidilt sisselogimismandaatide abil erinevatesse teenustesse sisse logida. Kuid OpenID oli väga piiratud, nii et grupp inimesi, kes töötasid välja oma saitide erinevad autoriseerimisprotokollid, said kokku. Esimesed OAuthi rakendused tehti 2007. aastal ja esimene redaktsioon tuli kaks aastat hiljem.

OAuth 2.0 jõudis sündmuskohale 2010. aastal. Selle eesmärk oli keskenduda kliendi-arendaja lihtsusele ja olla hõlpsamini skaleeritav, parandades samal ajal ka kasutajakogemust.

Väljakutsed ees?

Ehkki Google, Klout ja teised suured nimed rakendavad OAuth 2.0, võib selle protokolli jaoks veel ees olla kivine tee. OAuth 2.0 kogukonnas on kriitikat, sealhulgas muret protokollide turvalisuse pärast (paljude arvates on see vähem turvaline kui OAuth 1.0).

Hammeri sõnul töötab OAuth 2.0, kui seda kasutab veebiturbega hästi kursis olev pädev programmeerija. Kahjuks sobib sellele arvele vaid väike osa arendajaid.

Lisaks pole OAuth 2.0 koode taaskasutatavad. Näiteks pole OAuth 2.0 protokollid, mida kasutab, teistes saitides hõlpsasti kasutatavad. Veelgi enam, uus protokoll on tegelikult palju keerulisem kui originaal.

Kuid paljude inimeste jaoks on tõeline probleem see, et OAuth 2.0 ei paku mingeid tegelikke eeliseid ega täiustusi üle 1.0. Hammer kirjutab, et kui installite 1.0 edukalt, pole põhjust 2.0 versioonile üle minna.

OAuth 2.0 on siiski endiselt väga elus. Kui see käsitletakse tõstatatud kriitikat ja küsimusi, võib see siiski leida koha väga võimsa protokollina. Selle kirjutamise ajal peetakse versiooni 1.0 endiselt OAuthi ametlikuks, stabiilseks ja testitud versiooniks. Sellegipoolest võivad arendajad, kes soovivad veebimaailmas töötada suurte nimedega, selle protokolli turvaline rakendamine muutuda võtmeoskuseks lähitulevikus.