OAuth 2.0 101

מְחַבֵּר: Judy Howell
תאריך הבריאה: 26 יולי 2021
תאריך עדכון: 23 יוני 2024
Anonim
OAuth 2.0: An Overview
וִידֵאוֹ: OAuth 2.0: An Overview

תוֹכֶן


להסיר:

OAuth 2.0 תוכנן לשפר את הגרסה המקורית של הפרוטוקול. לדברי מבקריו, הוא מצליח באזורים מסוימים ונכשל באחרים.

מכוניות יוקרה רבות מגיעות עם מפתח שירות. זהו מפתח מיוחד שאתה נותן לדייל החניה ובניגוד למפתח הרגיל שלך, יאפשר לנהוג ברכב רק למרחק קצר תוך חסימת הגישה לתא המטען ולפלאפון המשולב. בלי קשר למגבלות שמטיל מפתח השירות הוא הרעיון חכם מאוד. אתה נותן למישהו גישה מוגבלת לרכב שלך באמצעות מפתח מיוחד, תוך כדי שימוש במפתח אחר כדי לבטל את הנעילה של כל השאר. - המדריך הרשמי ל- OAuth 1.0

כך הסבר כי הנחיות המפרט מבוסס הקהילה הסבירו את OAuth כבר בשנת 2007. ולמרות ש- OAuth 2.0 הוא פרוטוקול חדש לחלוטין, אותו תיאור עדיין חל - OAuth נותרה דרך למשתמשים להעניק גישה לצד שלישי (וגישה מוגבלת) שלהם משאבים מבלי לשתף את הסיסמאות שלהם.

אם אתה נמצא באינטרנט באופן קבוע, רוב הסיכויים שנתקלת באתר המשתמש ב- OAuth. אחרי הכל, אתרי האינטרנט הגדולים בעולם, כמו, Google, MySpace,, Photobcuket, Yahoo, Evernote ו- Vimeo, משתמשים בתקן אימות זה. המשך לקרוא כדי ללמוד עוד על תקן זה, ומדוע הדור הבא, OAuth 2.0, עדיין משמש באופן ניסיוני יחסית.

מה זה OAuth 2.0?

ראשית, עליכם לדעת מה OAuth, כפרוטוקול, עושה: הוא מאפשר הרשאת ממשק תכנות יישומים בין שני יישומי אינטרנט או שולחן עבודה. כתוצאה מכך אתרים מסוגלים לשתף משאבים מוגנים עם אתרים ושירותים אחרים.

לדוגמה, אם אתה משחק Scramble עם חברים באייפד שלך, אתה יכול להזין את האישורים שלך, לאפשר למשחק להסתכל ברשימת החברים שלך כדי לראות מי מהם משחק את המשחק - ולהזמין אחרים להצטרף. או שתוכל להתחבר לחברים ב- Google+ על סמך מי שעוקב אחריך. יישומים מסוג זה הם שימושיים למשתמשים, אך הם כרוכים במתן אתר או תוכנית אחת למידע אודותיך באתר אחר.

OAuth 2.0 עובד ממש כמו הגלגול הראשון של OAuth, אך זהו סטנדרט חדש לחלוטין. המשמעות היא שהיא אינה תואמת לאחור עם OAuth 1.0. גרסה 2.0 ניקתה הרבה מהבעיות ב- OAuth המקורית וביצעה שיפורים.

תוך שמירה על הארכיטקטורה של הגירסה הראשונה, 2.0 השתפרה ב:
  • אימות וחתימות. OAuth 2.0 הקל על מישהו בצד הלקוח ליישם את הפרוטוקול.
  • חווית משתמש ודרכים חלופיות להוצאת אסימונים
  • ביצועים, במיוחד עם אתרים ושירותים גדולים יותר
הסבר מקיף יותר על מה חדש ב- OAuth 2.0 ניתן על ידי ערן האמר, שהיה בעבר חלק מקבוצת העבודה OAuth. אתה יכול לגשת אליו כאן. עם זאת, שימו לב כי האמר עזב את קבוצת העבודה ביולי 2012, תוך ציטוט בסוגיות עם חששות ביטחוניים בעת יישום התקן. כתוצאה מכך, למרות ש- OAuth היה אמור להסתיים בסוף 2010, הוא נותר תקן מוצע (בזמן הכתיבה), אף שהוא חלק מתכנת ה- API של הגרף. גוגל ומיקרוסופט עורכות ניסויים בתמיכה של OAuth 2.0 בממשקי ה- API שלה.

היתרונות של שימוש ב- OAuth 2.0

אחת הסיבות הטובות ביותר להשתמש ב- OAuth היא שהיא מקלה על שיתוף כל כך הרבה יותר. כבר היו רגילים להעלות תמונות לאינסטגרם ולהביא אותם לפרסום באופן אוטומטי ל-. למעשה, סוג זה של קלות שימוש וקרוסאובר שממשיך להפוך את המדיה החברתית למושכת כל כך.

אבל זה לא הכל. עבור משתמשי קצה OAuth פירושו שאינכם חייבים ליצור פרופיל אחר. לדוגמה, אם ברצונך להשאיר תגובה למאמר, אתה יכול להשתמש בתעודות שלך או בתעודות לשם כך, במקום שתצטרך להירשם לחשבון באתר נתון. זה נהדר עבור אתרים שאתה בדרך כלל לא פעיל בהם, או שאתה לא יכול לסמוך עליהם. זה יכול גם להועיל לאתרים בכך שהוא מבטיח שמשתמשים יהיו בעלי זהות, והופך את הספאם לתגובות פחות סביר.

OAuth פירושו גם פחות סיסמאות לזכור. שיטת העבודה הטובה ביותר היא שיש סיסמאות שונות לשירותי אתר שונים. אז במקום לשנן סיסמה נוספת עבור פינטרסט, עליכם להשתמש בסיסמה רק כדי לגשת לשירות. פינטרסט, אגב, לא תראה את הסיסמה שלך.

אתה יכול גם להגביל לאילו משאבים ניגשים דרך OAuth שלך. לדוגמה, כשאתה משחק משחק ב, אתה יכול לציין אם אתה רוצה שהמשחק יפורסם על הקיר שלך בשמך או לא.

עבור המפתח, OAuth 2.0 מספק קוד שפותח כבר לאימותים, תצוגת אינטראקציה חברתית ותצוגת פרופיל משתמש. המשמעות היא פחות באגים עבור מפתחים להתמודד איתם וסיכון נמוך יותר מכיוון שה- API כבר ניפץ באגים, נבדק והוכח. לבסוף, אתה נהנה גם מאחסון נתונים פחות בשרתים שלך.

איך הגיע OAuth 2.0 להיות

די ברור ש- OAuth היא תגובה לקריאה למחשוב מאובטח וקלות שימוש בשירותי אינטרנט שונים. לעומת זאת, OAuth 2.0 נבע מהצורך להפוך את OAuth למורכב פחות. אבל כל הרעיון לשניהם הגיע למעשה מ- OpenID.

OpenID הוא שירות המאפשר למשתמשים להתחבר לשירותים שונים באמצעות אישורי כניסה מאתר אחר. אבל OpenID היה מוגבל מאוד, ולכן קבוצה של אנשים שעבדו על פרוטוקולי הרשאה שונים לאתרים שלהם נפגשו. היישומים הראשונים של OAuth בוצעו בשנת 2007, והתיקון הראשון הגיע שנתיים לאחר מכן.

OAuth 2.0 הגיע למקום בשנת 2010. כוונתה הייתה להתמקד בפשטות של מפתח לקוחות ולהיות ניתן להרחבה בקלות יותר תוך שיפור חוויית המשתמש.

אתגרים קדימה?

למרות שגוגל, קלוט ושמות גדולים אחרים מיישמים את OAuth 2.0, ייתכן שעדיין יש דרך סלעית לפני הפרוטוקול הזה. יש ביקורת בקרב קהילת OAuth 2.0, כולל חששות מפני אבטחת הפרוטוקולים (רבים מאמינים שהיא פחות בטוחה מאשר OAuth 1.0).

לדברי האמר, אם משתמשים בו מתכנת מוסמך הבקיא היטב באבטחת רשת, OAuth 2.0 עובד. למרבה הצער, רק מיעוט קטן של מפתחים מתאים לחשבון זה.

בנוסף, קודי OAuth 2.0 אינם ניתנים לשימוש חוזר. לדוגמה, פרוטוקולים של OAuth 2.0 המשמשים אותם לא יוכלו להשתמש באתר אחר בקלות. מה שכן, הפרוטוקול החדש הוא למעשה הרבה יותר מורכב מהמקור.

אבל הבעיטה האמיתית עבור אנשים רבים היא ש- OAuth 2.0 לא נראה מציע שום יתרון או שיפור אמיתי לעומת 1.0. האמר כותב שאם אתה מיישם בהצלחה 1.0, אין שום סיבה לשדרג ל- 2.0.

עם זאת, OAuth 2.0 עדיין חי מאוד. אם הוא מתייחס לביקורות ולסוגיות המועלות, הוא עדיין עשוי למצוא מקום כפרוטוקול חזק מאוד. עם זאת, בעת כתיבת שורות אלה גרסה 1.0 עדיין נחשבת לגרסה הרשמית, היציבה והבדוקה של OAuth. עם זאת, עבור מפתחים שמטרתם לעבוד עם שמות גדולים בעולם המקוון, יישום פרוטוקול זה בצורה מאובטחת עשוי להפוך למיומנות מרכזית בעתיד הלא רחוק.