OAuth 2.0 101

Autora: Judy Howell
Data De La Creació: 26 Juliol 2021
Data D’Actualització: 23 Juny 2024
Anonim
OAuth 2.0: An Overview
Vídeo: OAuth 2.0: An Overview

Content


Emportar:

OAuth 2.0 es va dissenyar per millorar en la versió original del protocol. Segons els seus crítics, té èxit en algunes àrees i falla en altres.

Molts cotxes de luxe disposen de clau de valet. És una clau especial que proporcioneu a l'aparcament i, a diferència de la clau habitual, només us permetrà conduir el cotxe a poca distància bloquejant l'accés al maleter i al telèfon mòbil a bord. Independentment de les restriccions que la clau de valet imposa, la idea és molt intel·ligent. Podeu proporcionar a algú un accés limitat al cotxe amb una clau especial, mentre que feu servir una altra clau per desbloquejar la resta. - La Guia oficial d'OAuth 1.0

Així és com les directrius d’especificació basades en la comunitat van explicar el camí d’OAuth el 2007 i, tot i que OAuth 2.0 és un protocol completament nou, continua essent la mateixa descripció: OAuth segueix sent una manera perquè els usuaris concedeixin un accés (i un accés limitat) a tercers. recursos sense compartir les seves contrasenyes.

Si aneu a Internet regularment, és probable que hagueu trobat amb un lloc que utilitza OAuth. Al cap i a la fi, els llocs web més grans del món, com, Google, MySpace, Photobcuket, Yahoo, Evernote i Vimeo, fan servir aquest estàndard d’autenticació. Continua llegint per obtenir més informació sobre aquest estàndard i per què encara s’utilitza la següent generació, OAuth 2.0, de forma relativament experimental.

Què és OAuth 2.0?

Primer, heu de saber què fa OAuth, com a protocol: Permet l’autorització d’interfície de programació d’aplicacions entre dues aplicacions web o d’escriptori. Com a resultat, els llocs web poden compartir recursos protegits amb altres llocs web i serveis.

Per exemple, si jugueu a Scramble amb amics a l’iPad, podríeu introduir les vostres credencials, permetent que el joc es mostri a la llista d’amics per veure quins d’ells estan jugant al joc i convideu a que s’hi uneixin. O podeu connectar-vos amb els amics de Google+ a partir dels següents. Aquest tipus d'aplicacions són útils per als usuaris, però consisteixen en donar accés a un lloc o programa a informació sobre vosaltres en un altre lloc.

OAuth 2.0 funciona molt com la primera encarnació d'OAuth, però és un estàndard totalment nou. Això vol dir que no és compatible amb OAuth 1.0. La versió 2.0 va netejar molts dels problemes amb l’OAuth original i va fer millores.

Tot i conservar bàsicament l'arquitectura de la primera versió, la 2.0 va millorar en:
  • Autenticació i signatures. OAuth 2.0 va facilitar que algú del costat del client implementés el protocol.
  • Experiència de l’usuari i maneres alternatives d’emetre fitxes
  • Rendiment, especialment amb llocs web i serveis més grans
Eran Hammer, que va formar part del grup de treball OAuth, proporciona una explicació més completa sobre les novetats amb OAuth 2.0. Podeu accedir-hi aquí. Tanmateix, tingueu en compte que Hammer va abandonar el grup de treball al juliol del 2012, citant problemes amb problemes de seguretat a l’hora d’implementar l’estàndard. Com a resultat, tot i que OAuth hauria de finalitzar-se a finals del 2010, segueix sent un estàndard proposat (a l’hora d’escriure), tot i que forma part de l’API de gràfics. Google i Microsoft també estan experimentant amb el suport OAuth 2.0 a les seves API.

Els avantatges d’utilitzar OAuth 2.0

Una de les millors raons per utilitzar OAuth és que facilita l’ús compartit. Ja havíem penjat fotos a Instagram i publicades automàticament a i. De fet, és aquest tipus de facilitat d’ús i de creuament que continua fent que les xarxes socials siguin tan atractives.

Però això no és tot. Per als usuaris finals, OAuth significa que no heu de crear un altre perfil. Per exemple, si voleu deixar un comentari sobre un article, podeu utilitzar les vostres o credencials per fer-ho, en lloc d'haver de registrar-vos en un compte en un lloc web determinat. Això és excel·lent per a llocs on no acostuma a estar actiu o en què pot no confiar. També pot beneficiar els llocs garantint que els usuaris tinguin una identitat activada, fent que el correu brossa sigui menys probable.

OAuth també significa menys contrasenyes per recordar. És una bona pràctica disposar de contrasenyes diferents per als diferents serveis del lloc web. Així que en lloc de memoritzar una altra contrasenya per Pinterest, només heu d’utilitzar la vostra contrasenya per accedir al servei. Pinterest, per cert, no veuràs la teva contrasenya.

També podeu limitar a quins recursos s’accedeix mitjançant el vostre OAuth. Per exemple, quan jugueu a un joc, podeu especificar si voleu que el joc sigui publicat al vostre nom o no.

Per al desenvolupador, OAuth 2.0 proporciona un codi ja desenvolupat per a les autenticacions, la visualització d’interacció social i la visualització del perfil d’usuari. Això significa menys errors per afrontar els desenvolupadors i un menor risc, ja que l'API ja s'ha depurat, provat i provat. Per últim, també es beneficia de tenir menys dades emmagatzemades als vostres servidors.

Com va arribar OAuth 2.0

És ben obvi que OAuth és una resposta a la crida a la informàtica segura i la facilitat d’ús per a diferents serveis web. OAuth 2.0, per la seva banda, va sorgir de la necessitat de fer que OAuth fos menys complex. Però la idea sencera per a tots dos provenia d'OpenID.

OpenID és un servei que permet als usuaris iniciar sessió en diversos serveis mitjançant l'ús de les credencials d'inici de sessió des d'un altre lloc web. Però OpenID era molt limitat, de manera que es van reunir un grup de persones que treballaven en diferents protocols d’autorització per als seus propis llocs. Les primeres implementacions OAuth es van fer el 2007 i la primera revisió va arribar dos anys després.

OAuth 2.0 va arribar als escenaris el 2010. La seva intenció era centrar-se en la simplicitat del client i desenvolupador i ser més fàcilment escalable alhora que millorar l’experiència dels usuaris.

Els reptes per davant?

Tot i que Google, Klout i altres grans noms implementen OAuth 2.0, pot haver-hi encara un camí pedregós per davant d’aquest protocol. Hi ha crítiques de dins de la comunitat OAuth 2.0, incloses les preocupacions sobre la seguretat dels protocols (molts creuen que és menys segura que OAuth 1.0).

Segons Hammer, si l’utilitza un programador competent que té una bona versió en seguretat web, OAuth 2.0 funciona. Malauradament, només una petita minoria de desenvolupadors s’ajusta a aquest projecte de llei.

A més, els codis OAuth 2.0 no es poden reutilitzar. Per exemple, els protocols OAuth 2.0 utilitzats no podrien ser fàcilment utilitzables per altres llocs. A més, el nou protocol és realment molt més complex que l'original.

Però el veritable tret de sortida per a moltes persones és que OAuth 2.0 no sembla que ofereixi cap avantatge ni millora real respecte a 1,0. Hammer escriu que si implementeu 1.0 amb èxit, no hi ha cap raó per actualitzar a 2.0.

OAuth 2.0, però, continua molt viu. Si tracta les crítiques i els problemes que es plantegen, encara pot trobar un lloc com a protocol molt potent. En el moment d’escriure, però, la versió 1.0 encara es considera la versió oficial, estable i provada d’OAuth. No obstant això, per a desenvolupadors que tinguin l'objectiu de treballar amb grans noms en el món en línia, la implementació d'aquest protocol de forma segura pot esdevenir un conjunt d'habilitats clau en un futur no gaire llunyà.