Tartalomjegyzék:
Sok luxusautó őrzött kulccsal rendelkezik. Ez egy speciális kulcs, amelyet a parkoló kísérőjének ad, és a szokásos kulccsal ellentétben az autó csak rövid távolságot tesz lehetővé, miközben akadályozza a hozzáférést a csomagtartóhoz és a fedélzeti mobiltelefonhoz. Az ötlet kulcsa által előírt korlátozásoktól függetlenül az ötlet nagyon okos. Különleges kulccsal korlátozott hozzáférést biztosít az autójához, miközben egy másik kulccsal nyitja meg az összes mást. - Az OAuth 1.0 hivatalos útmutatója
Így magyarázta a közösségi alapú specifikációs útmutató az OAuth-ot még 2007-ben. És bár az OAuth 2.0 egy teljesen új protokoll, ugyanaz a leírás továbbra is érvényes - az OAuth továbbra is a felhasználók számára lehetővé teszi harmadik felek számára hozzáférést (és korlátozott hozzáférést) a erőforrások jelszó megosztása nélkül.
Ha rendszeresen használja az internetet, akkor valószínű, hogy az OAuth szolgáltatást használó webhelyen találkozott. Végül is a világ legnagyobb weboldalai, mint például a Facebook, a Google, a MySpace, a Twitter, a Photobcuket, a Yahoo, az Evernote és a Vimeo, használják ezt a hitelesítési szabványt. Olvassa tovább, hogy többet megtudjon erről a szabványról, és arról, hogy az OAuth 2.0 következő generációját miért használják még mindig viszonylag kísérleti alapon.
Mi az OAuth 2.0?
Először is tudnia kell, hogy az OAuth mint protokoll mit tesz: Ez lehetővé teszi az alkalmazásprogramozási felület hitelesítését két webes vagy asztali alkalmazás között. Ennek eredményeként a webhelyek képesek megosztani a védett erőforrásokat más webhelyekkel és szolgáltatásokkal.
Például, ha a Scramble-ot a barátaiddal játsszuk az iPad készüléken, beírhatod a Facebook hitelesítő adatait, lehetővé téve a játéknak, hogy átnézze a barátok listáját, hogy megnézze, melyikük játszik a játékot, és meghívhat másokat csatlakozni. Vagy kapcsolatba léphet barátaival a Google+ szolgáltatásban annak alapján, hogy ki követi téged a Twitteren. Az ilyen típusú alkalmazások praktikusak a felhasználók számára, de magukban foglalják, hogy egy webhely vagy program hozzáférést biztosít egy másik webhelyen található rólad kapcsolatos információkhoz.
Az OAuth 2.0 hasonlóan működik, mint az OAuth első inkarnációja, de ez teljesen új szabvány. Ez azt jelenti, hogy nem kompatibilis az OAuth 1.0-zal. A 2.0-s verzió tisztította az eredeti OAuth számos problémáját, és javításokat végzett.
Miközben alapvetően megőrizte az első verzió architektúráját, a 2.0 tovább javult:
- Hitelesítés és aláírások. Az OAuth 2.0 megkönnyítette az ügyféloldal valaki számára a protokoll megvalósítását.
- Felhasználói élmény és tokenek kiadásának alternatív módjai
- Teljesítmény, különösen nagyobb webhelyek és szolgáltatások esetén
Az OAuth 2.0 használatának előnyei
Az OAuth használatának egyik legjobb oka az, hogy ez sokkal könnyebbé teszi a megosztást. Már hozzászoktunk a fényképek feltöltéséhez az Instagram-ba, és automatikusan elküldjük azokat a Twitterbe és a Facebook-ba. Valójában ez a könnyű használat és a keresztezés továbbra is olyan vonzóvá teszi a közösségi médiát.
De ez még nem minden. A végfelhasználók számára az OAuth azt jelenti, hogy nem kell új profilt létrehoznia. Például, ha kommentárt szeretne fűzni egy cikkhez, a Facebook vagy a Twitter hitelesítő adatait felhasználhatja erre ahelyett, hogy regisztrálnia kellene egy adott webhelyen a fiókot. Ez nagyszerű azoknak a webhelyeknek a számára, amelyekben általában nem aktív, vagy amelyekben nem bíznak meg. Előnyei lehetnek a webhelyeknek is, mivel biztosítják, hogy a felhasználók identitása legyen a Facebookon, és így a komment spam kevésbé valószínű.
Az OAuth kevesebb jelszót is jelent. Legjobb gyakorlat, ha különböző jelszavakkal rendelkeznek a különböző webhelyszolgáltatásokhoz. Tehát ahelyett, hogy egy másik jelszót megjegyezne, csak a Facebook-jelszavát kell használnia a szolgáltatás eléréséhez. egyébként nem fogja látni a jelszavát.
Azt is korlátozhatja, hogy milyen erőforrásokhoz férjen hozzá az OAuth. Például, amikor egy játékot játszik a Facebookon, megadhatja, hogy a játékot a falára tegye-e az ön nevében.
A fejlesztő számára az OAuth 2.0 már kifejlesztett kódot nyújt a hitelesítéshez, a társadalmi interakció megjelenítéséhez és a felhasználói profil megjelenítéséhez. Ez kevesebb hibát jelent a fejlesztők számára, és kevesebb kockázatot jelent, mivel az API-t már hibakeresés, tesztelés és bebizonyítás érte. Végül az is előnye, hogy kevesebb adatot kell tárolnia a saját szerverein.
Hogy lehet az OAuth 2.0
Teljesen nyilvánvaló, hogy az OAuth válasz a biztonságos számítástechnika és a különféle webszolgáltatások egyszerű használatának felhívására. Az OAuth 2.0 ezzel szemben az OAuth kevésbé összetetté tételének szükségességéből fakadt. De a két ötlet valójában az OpenID-ből származik.
Az OpenID egy szolgáltatás, amely lehetővé tette a felhasználók számára, hogy bejelentkezzenek a különböző szolgáltatásokba egy másik webhely bejelentkezési adatainak felhasználásával. Az OpenID azonban nagyon korlátozott volt, tehát a saját webhelyükön különféle engedélyezési protokollokon dolgozó emberek csoportja összegyűlt. Az első OAuth-megvalósítás 2007-ben történt meg, az első felülvizsgálat két évvel később.
Az OAuth 2.0 2010-ben érkezett a színpadra. Célja az volt, hogy az ügyfél-fejlesztő egyszerűségére összpontosítson, és könnyebben méretezhető legyen, miközben javítja a felhasználói élményt.
Kihívások előtt?
Noha a Google, a Klout és más nagynevek az OAuth 2.0-t implementálják, előfordulhat, hogy egy sziklás út vezet ezen a protokollon. Az OAuth 2.0 közösség részéről kritikák vannak, ideértve a protokoll biztonságával kapcsolatos aggodalmakat is (sokan úgy vélik, hogy kevésbé biztonságos, mint az OAuth 1.0).
Hammer szerint, ha egy hozzáértő programozó használja, aki jól ismeri a webbiztonságot, akkor az OAuth 2.0 működik. Sajnos a fejlesztőknek csak kis része illeszkedik ehhez a számlához.
Ezenkívül az OAuth 2.0 kódok nem használhatók újra. Például a Facebook által használt OAuth 2.0 protokoll nem lenne könnyen használható más webhelyek számára. Sőt, az új protokoll valójában sokkal összetettebb, mint az eredeti.
De sok ember számára az a tény, hogy az OAuth 2.0 valószínűleg nem jelent előnyt vagy javulást az 1.0-nál. Hammer azt írja, hogy ha sikeresen telepíti az 1.0-t, akkor nem indokolt frissíteni a 2.0-ra.
Az OAuth 2.0 azonban még mindig nagyon él. Ha foglalkozik a felvetett kritikákkal és kérdésekkel, akkor is találhat helyet nagyon erős protokollként. Az írás idején azonban az 1.0 verziót továbbra is az OAuth hivatalos, stabil és tesztelt verziójának tekintik. Mindazonáltal azoknak a fejlesztőknek, akik az online világban nagy nevekkel szeretnének dolgozni, e protokoll biztonságos végrehajtása kulcsfontosságú készséggé válhat a nem túl távoli jövőben.