Koti turvallisuus Oauth 2.0 101

Oauth 2.0 101

Sisällysluettelo:

Anonim

Monissa luksusautoissa on valet-avain. Se on erityinen avain, jonka annat pysäköintiasemalle, ja toisin kuin tavallinen avain, sallii auton ajamisen vain lyhyen matkan estäen pääsyn tavaratilaan ja matkapuhelimeen. Valet-avaimen asettamista rajoituksista huolimatta idea on erittäin fiksu. Anat jollekin rajoitetun pääsyn autoosi erityisellä avaimella, samalla kun käytät toista avainta kaiken muun avaamiseen. - OAuth 1.0: n virallinen opas


Näin yhteisöpohjaiset eritelmäohjeet selittivät OAuthin takaisin vuonna 2007. Ja vaikka OAuth 2.0 on täysin uusi protokolla, sama kuvaus pätee edelleen - OAuth on edelleen tapa, jolla käyttäjät voivat myöntää kolmansien osapuolien pääsyn (ja rajoitetun pääsyn) heidän resursseja jakamatta salasanoja.


Jos käytät Internetiä säännöllisesti, olet todennäköisesti törmännyt sivustoon, joka käyttää OAuthia. Loppujen lopuksi maailman suurimmat verkkosivustot, kuten Facebook, Google, MySpace, Twitter, Photobcuket, Yahoo, Evernote ja Vimeo, käyttävät tätä todennusstandardia. Lue lisätietoja tästä standardista ja siitä, miksi seuraavaa sukupolvea, OAuth 2.0, käytetään edelleen suhteellisen kokeellisesti.

Mikä on OAuth 2.0?

Ensinnäkin sinun on tiedettävä, mitä OAuth protokollana tekee: Se mahdollistaa sovellusohjelmointirajapinnan valtuutuksen kahden Web- tai työpöytäsovelluksen välillä. Tämän seurauksena verkkosivustot voivat jakaa suojattuja resursseja muiden verkkosivustojen ja palveluiden kanssa.


Esimerkiksi, jos pelaat Scramblea ystävien kanssa iPadillasi, voit kirjoittaa Facebook-käyttäjätiedot, jotta peli voi katsella ystäväluettelosi nähdäksesi, mitkä heistä pelaa peliä - ja kutsua muita liittymään. Tai voit ottaa yhteyttä ystäviin Google+ -palvelussa sen perusteella, kuka seuraa sinua Twitterissä. Tämäntyyppiset sovellukset ovat käteviä käyttäjille, mutta niihin sisältyy pääsyn antaminen yhdelle sivustolle tai ohjelmalle tietoja sinusta toisella sivustolla.


OAuth 2.0 toimii paljon kuin ensimmäinen OAuth-inkarnaatio, mutta se on kokonaan uusi standardi. Tämä tarkoittaa, että se ei ole taaksepäin yhteensopiva OAuth 1.0: n kanssa. Versio 2.0 siirsi monet alkuperäisen OAuth-järjestelmän ongelmista ja teki parannuksia.


Vaikka pohjimmiltaan säilytettiin ensimmäisen version arkkitehtuuri, 2.0 parani:

  • Todennus ja allekirjoitukset. OAuth 2.0 helpotti jonkun asiakaspuolella protokollan toteuttamista.
  • Käyttäjäkokemus ja vaihtoehtoiset tapoja antaa rahakkeita
  • Suorituskyky, etenkin suurempien verkkosivustojen ja palveluiden kanssa
Kattavampi selitys OAuth 2.0: n uudesta on Eran Hammer, joka oli aiemmin osa OAuth-työryhmää. Voit käyttää sitä täällä. Huomaa kuitenkin, että Hammer lähti työryhmästä heinäkuussa 2012 ja viittasi turvallisuusongelmiin standardin täytäntöönpanossa. Seurauksena on, että vaikka OAuthin piti valmistua vuoden 2010 loppuun mennessä, se on edelleen ehdotettu standardi (kirjoittamishetkellä), vaikka se on osa Facebookin Graph API -sovellusta. Google ja Microsoft kokeilevat myös OAuth 2.0 -tukea niiden sovellusliittymissä.

OAuth 2.0: n käytön edut

Yksi parhaista syistä käyttää OAuthia on, että se tekee jakamisen paljon helpommaksi. Olemme jo tottuneet lähettämään valokuvia Instagramiin ja lähettämään ne automaattisesti Twitteriin ja Facebookiin. Itse asiassa se on tällainen helppokäyttöisyys ja crossover, joka tekee sosiaalisesta mediasta edelleen houkuttelevaa.


Mutta se ei ole kaikki. Loppukäyttäjille OAuth tarkoittaa, että sinun ei tarvitse luoda uutta profiilia. Esimerkiksi, jos haluat jättää kommentin artikkeliin, voit käyttää sitä Facebook- tai Twitter-käyttöoikeustiedoillasi sen sijaan, että tarvitset tiliä tietyllä verkkosivustolla. Tämä on hienoa sivustoille, joissa et yleensä ole aktiivisia tai joihin et ehkä luota. Se voi hyötyä myös sivustoista varmistamalla, että käyttäjillä on identiteetti Facebookissa, mikä tekee kommenttien roskapostista vähemmän todennäköisen.


OAuth tarkoittaa myös vähemmän salasanoja, jotka muistetaan. Paras tapa on käyttää erilaisia ​​salasanoja erilaisille verkkosivustoille. Joten sen sijaan, että muistat toisen salasanan, sinun on käytettävä vain Facebook-salasanaasi palvelun käyttämiseen. muuten, et näe salasanaasi.


Voit myös rajoittaa mitä resursseja käytetään OAuth-palvelun kautta. Esimerkiksi, kun pelaat peliä Facebookissa, voit määrittää, haluatko lähettää pelin seinällesi puolestasi vai et.


Kehittäjälle OAuth 2.0 tarjoaa jo kehitetyn koodin todennuksille, sosiaalisen vuorovaikutuksen näytölle ja käyttäjäprofiilin näytölle. Tämä tarkoittaa sitä, että kehittäjille on vähemmän virheitä ja pienempi riski, koska sovellusliittymä on jo virheenkorjattu, testattu ja todistettu. Viimeiseksi hyödyt myös siitä, että omilla palvelimillasi on vähemmän tallennettavia tietoja.

Kuinka OAuth 2.0 tuli

On aivan selvää, että OAuth on vastaus kehotukseen turvallisesta tietojenkäsittelystä ja helppokäyttöisyydestä erilaisille Web-palveluille. Toisaalta OAuth 2.0 syntyi tarpeesta tehdä OAuthista vähemmän monimutkainen. Mutta koko idea molemmille tuli itse asiassa OpenID: ltä.


OpenID on palvelu, jonka avulla käyttäjät voivat kirjautua sisään erilaisiin palveluihin käyttämällä kirjautumistietoja toisesta verkkosivustosta. Mutta OpenID oli hyvin rajallinen, joten ryhmä ihmisiä, jotka työskentelivät omien sivustojensa eri lupaprotokollien parissa, kokoontuivat yhteen. Ensimmäiset OAuth-toteutukset tehtiin vuonna 2007, ja ensimmäinen versio tuli kaksi vuotta myöhemmin.


OAuth 2.0 saapui näyttämölle vuonna 2010. Sen tarkoituksena oli keskittyä asiakaskehittäjän yksinkertaisuuteen ja olla helpommin skaalautuva samalla parantaen käyttökokemusta.

Haasteet edessä?

Vaikka Google, Klout ja muut suuret nimet toteuttavat OAuth 2.0: ta, tämän protokollan edessä voi olla vielä kivinen tie. OAuth 2.0 -yhteisössä on kritiikkiä, mukaan lukien huolet protokollan turvallisuudesta (monet uskovat sen olevan vähemmän turvallista kuin OAuth 1.0).


Hammerin mukaan OAuth 2.0 toimii, jos sitä käyttää pätevä ohjelmoija, joka tuntee verkkoturvan. Valitettavasti vain pieni vähemmistö kehittäjiä sopii laskuun.


Lisäksi OAuth 2.0 -koodeja ei voida käyttää uudelleen. Esimerkiksi Facebookin käyttämät OAuth 2.0 -protokollat ​​eivät olisi helposti muiden sivustojen käytettävissä. Lisäksi uusi protokolla on oikeastaan ​​paljon monimutkaisempi kuin alkuperäinen.


Mutta todellinen kicker monille ihmisille on, että OAuth 2.0 ei näytä tarjoavan mitään todellista etua tai parannusta yli 1, 0: een. Hammer kirjoittaa, että jos asennat 1.0 onnistuneesti, ei ole syytä päivittää versioon 2.0.


OAuth 2.0 on kuitenkin edelleen hyvin elossa. Jos siinä puututaan esiin nostamiin kritiikoihin ja kysymyksiin, se saattaa silti löytää paikan erittäin voimakkaana protokollana. Kirjoittamishetkellä versiota 1.0 pidetään kuitenkin edelleen OAuthin virallisena, vakaana ja testattuna versiona. Tästä huolimatta kehittäjille, jotka pyrkivät työskentelemään suurten nimien kanssa verkkomaailmassa, tämän protokollan turvallisesta toteuttamisesta voi tulla avaintaito, joka asetetaan liian kaukaiseen tulevaisuuteen.

Oauth 2.0 101