Chính xác thì OAuth (Ủy quyền mở) là gì?
Tôi đã lượm lặt được một số thông tin từ
Nhưng tôi muốn tìm hiểu và biết thêm. Tôi đang tìm kiếm thông tin về vòng đời. Tại sao hầu hết các mạng xã hội đều dựa vào giao thức mở này?
Nó sẽ trở thành một thực tế trong tương lai gần với các công nghệ khác nhau (ví dụ ASP.NET)?
Câu trả lời:
Chính xác thì OAuth (Ủy quyền mở) là gì?
OAuth cho phép thông báo cho nhà cung cấp tài nguyên (ví dụ: Facebook) rằng chủ sở hữu tài nguyên (ví dụ: bạn) cấp quyền cho bên thứ ba (ví dụ: Ứng dụng Facebook) truy cập vào thông tin của họ (ví dụ: danh sách bạn bè của bạn).
Nếu bạn đọc nó được nêu rõ ràng, tôi sẽ hiểu sự nhầm lẫn của bạn. Vì vậy, hãy đi với một ví dụ cụ thể: tham gia một mạng xã hội khác!
Giả sử bạn có tài khoản GMail hiện tại. Bạn quyết định tham gia LinkedIn. Thêm tất cả , rất nhiều bạn bè của bạn một cách thủ công là mệt mỏi và dễ bị lỗi. Bạn có thể chán ngấy một nửa hoặc chèn lỗi chính tả vào địa chỉ email của họ để nhận lời mời. Vì vậy, bạn có thể không muốn tạo một tài khoản sau khi tất cả.
Đối mặt với tình huống này, LinkedIn có Ý tưởng tốt (TM) để viết chương trình tự động thêm danh sách bạn bè của bạn vì máy tính hoạt động hiệu quả và hiệu quả hơn nhiều trong các nhiệm vụ dễ bị mệt mỏi và dễ bị lỗi. Vì việc tham gia mạng bây giờ rất dễ dàng, không có cách nào bạn có thể từ chối lời đề nghị như vậy, bây giờ thì sao?
Nếu không có API để trao đổi danh sách liên hệ này, bạn sẽ phải cung cấp cho LinkedIn tên người dùng và mật khẩu vào tài khoản GMail của mình, do đó cung cấp cho họ quá nhiều sức mạnh .
Đây là nơi OAuth xuất hiện. Nếu GMail của bạn hỗ trợ giao thức OAuth, thì LinkedIn có thể yêu cầu bạn cho phép họ truy cập danh sách liên hệ GMail của bạn.
OAuth cho phép:
Nó sẽ trở thành một thực tế (tiêu chuẩn?) Trong tương lai gần?
Chà, mặc dù OAuth là một bước tiến đáng kể, nhưng nó không giải quyết được vấn đề nếu mọi người không sử dụng đúng cách. Chẳng hạn, nếu một nhà cung cấp tài nguyên chỉ cung cấp một cấp truy cập đọc-ghi cho tất cả các tài nguyên của bạn cùng một lúc và không cung cấp cơ chế để quản lý quyền truy cập, thì không có điểm nào cho nó. Nói cách khác, OAuth là một khung để cung cấp chức năng ủy quyền chứ không chỉ xác thực.
Trong thực tế, nó phù hợp với mô hình mạng xã hội rất tốt. Nó đặc biệt phổ biến đối với những mạng xã hội muốn cho phép "plugin" của bên thứ ba. Đây là một lĩnh vực mà việc truy cập vào các tài nguyên vốn đã cần thiết và cũng không đáng tin cậy (tức là bạn có ít hoặc không kiểm soát chất lượng đối với các ứng dụng đó).
Tôi đã không thấy nhiều công dụng khác trong tự nhiên. Ý tôi là, tôi không biết về một công ty tư vấn tài chính trực tuyến sẽ tự động truy cập vào hồ sơ ngân hàng của bạn, mặc dù về mặt kỹ thuật nó có thể được sử dụng theo cách đó.
Outh là gì?
OAuth đơn giản là một giao thức ủy quyền an toàn liên quan đến ủy quyền của ứng dụng bên thứ ba để truy cập dữ liệu người dùng mà không để lộ mật khẩu của họ. ví dụ. (Đăng nhập bằng fb, gPlus, twitter trên nhiều trang web ..) đều hoạt động theo giao thức này.
Bên liên quan
Giao thức trở nên dễ dàng hơn khi bạn biết các bên liên quan. Về cơ bản có ba bên liên quan: Nhà cung cấp oAuth, Khách hàng và Chủ sở hữu oAuth.
Làm thế nào nó hoạt động?
Tôi đã giả sử một kịch bản trong đó một trang web (stackoverflow) cần thêm đăng nhập bằng tính năng facebook. Do đó, facebook là Nhà cung cấp oAuth và stackoverflow là oAuth Client.
Bước này được thực hiện bởi nhà phát triển ứng dụng . Lúc đầu, facebook (Nhà cung cấp oAuth) không biết gì về stackoverflow (oAuth Client) vì không có liên kết giữa chúng. Vì vậy, bước đầu tiên là đăng ký stackoverflow với trang web của nhà phát triển facebook . Điều này được thực hiện thủ công khi các nhà phát triển cần cung cấp thông tin của ứng dụng cho facebook như tên ứng dụng, trang web, logo, Url chuyển hướng (quan trọng). Sau đó stackoverflow được đăng ký thành công, đã có Id khách hàng, bí mật của khách hàng, v.v. từ facebook và đang hoạt động với OAUTH .
2. Bây giờ khi người dùng stackoverflow bấm vào đăng nhập bằng nút fb . Stackoverflow yêu cầu facebook với ClientId (fb sử dụng nó để nhận ra máy khách) và redirectUrl (fb sẽ quay lại url này sau khi thành công). Vì vậy, người dùng được chuyển hướng đến trang đăng nhập facebook. Đây là phần người dùng (chủ sở hữu) tốt nhất sẽ không cung cấp thông tin xác thực trên facebook cho stackoverflow.
Để biết thêm:
Đơn giản chỉ cần đặt OAuth là một cách để các ứng dụng có được thông tin đăng nhập vào thông tin của bạn mà không cần trực tiếp lấy thông tin đăng nhập của người dùng đến một số trang web. Ví dụ: nếu bạn viết một ứng dụng trên trang web của riêng bạn và muốn nó sử dụng dữ liệu từ tài khoản facebook của người dùng, bạn có thể sử dụng OAuth để nhận mã thông qua url gọi lại và sau đó sử dụng mã thông báo đó để thực hiện cuộc gọi đến API facebook để nhận được cuộc gọi của họ sử dụng dữ liệu cho đến khi mã thông báo hết hạn. Các trang web dựa vào nó bởi vì nó cho phép các lập trình viên truy cập dữ liệu của họ mà không cần người dùng phải tiết lộ trực tiếp thông tin của họ và truyền bá thông tin của họ trên mạng nhưng vẫn cung cấp mức độ bảo vệ dữ liệu. Nó sẽ trở thành phương pháp ủy quyền trên thực tế? Có lẽ, gần đây nó đã nhận được rất nhiều sự hỗ trợ từ Twitter, Facebook,
Oauth chắc chắn đang có được động lực và trở nên phổ biến trong các API doanh nghiệp. Trong thế giới điều khiển ứng dụng và dữ liệu, các doanh nghiệp đang phơi bày API ngày càng nhiều hơn với thế giới bên ngoài phù hợp với Google, Facebook, twitter. Với sự phát triển này, một tam giác xác thực 3 chiều được hình thành
1) Nhà cung cấp API - Bất kỳ doanh nghiệp nào tiết lộ tài sản của họ bằng API, theo Amazon, Target, v.v. 2) Nhà phát triển - Người xây dựng ứng dụng di động / ứng dụng khác qua API này 3) Người dùng cuối - Người dùng cuối của dịch vụ được cung cấp bởi - cho biết người dùng đã đăng ký / khách của Amazon
Bây giờ điều này phát triển một tình huống liên quan đến bảo mật - (Tôi liệt kê một vài trong số những phức tạp này) 1) Bạn với tư cách là người dùng cuối muốn cho phép nhà phát triển truy cập API thay mặt bạn. 2) Nhà cung cấp API phải xác thực nhà phát triển và người dùng cuối 3) Người dùng cuối sẽ có thể cấp và thu hồi các quyền cho sự đồng ý mà họ đã đưa ra 4) Nhà phát triển có thể có mức độ tin cậy khác nhau với nhà cung cấp API, trong mức độ cấp phép cho cô ấy là khác nhau
Oauth là một khung ủy quyền cố gắng giải quyết vấn đề được đề cập ở trên theo cách tiêu chuẩn. Với sự nổi bật của API và Ứng dụng, vấn đề này sẽ ngày càng trở nên phù hợp hơn và bất kỳ tiêu chuẩn nào cố gắng giải quyết nó - dù là hay bất kỳ điều gì khác - sẽ là điều cần quan tâm với tư cách là nhà cung cấp / nhà phát triển API và thậm chí là người dùng cuối!
OAuth ( O pen Auth orization) là một tiêu chuẩn mở cho giao thức cấp / truy cập truy cập. Nó được sử dụng như một cách để người dùng Internet cấp cho các trang web hoặc ứng dụng quyền truy cập vào thông tin của họ trên các trang web khác nhưng không cung cấp cho họ mật khẩu. Nó không đối phó với xác thực .
Hoặc là
OAuth 2.0 là một giao thức cho phép người dùng cấp quyền truy cập hạn chế vào tài nguyên của họ trên một trang web, đến một trang web khác mà không phải tiết lộ thông tin đăng nhập của họ.
Tương tự 1: Nhiều chiếc xe sang trọng ngày nay đi kèm với một chìa khóa valet. Đó là một chìa khóa đặc biệt mà bạn cung cấp cho nhân viên đỗ xe và không giống như chìa khóa thông thường của bạn, sẽ không cho phép chiếc xe lái xe hơn một hoặc hai dặm. Một số phím valet sẽ không mở thân cây, trong khi một số khác sẽ chặn truy cập vào sổ địa chỉ điện thoại di động trên máy bay của bạn. Bất kể những hạn chế nào mà khóa valet áp đặt, ý tưởng này rất thông minh. Bạn cung cấp cho ai đó quyền truy cập hạn chế vào xe của bạn bằng một phím đặc biệt, trong khi sử dụng khóa thông thường của bạn để mở khóa mọi thứ. src từ auth0
Tương tự 2: Giả sử, chúng tôi muốn điền vào mẫu đơn đăng ký tài khoản ngân hàng. Ở đây, Oauth hoạt động như, thay vì điền vào mẫu của người nộp đơn, ngân hàng có thể điền vào mẫu bằng Adhaar hoặc hộ chiếu.
Ở đây có ba thực thể sau đây có liên quan:
OAuth là tất cả về ủy quyền ủy quyền (chọn ai đó có thể thực hiện Ủy quyền cho bạn). Lưu ý rằng Xác thực và Ủy quyền là những thứ khác nhau. OAuth là Ủy quyền (Kiểm soát truy cập) và nếu bạn muốn triển khai Xác thực (xác minh ID), giao thức OpenID có thể được sử dụng trên đầu trang của OAuth.
Tất cả các công ty lớn như Facebook, Google, Github, ... hiện nay đều sử dụng loại xác thực / ủy quyền này. Ví dụ: tôi vừa đăng nhập trên trang web này bằng tài khoản Google của mình, điều này có nghĩa là Stackoverflow không biết mật khẩu của tôi, nó nhận được trợ cấp từ Google nơi lưu mật khẩu của tôi (băm rõ ràng). Điều này mang lại rất nhiều lợi ích, một trong số đó là; Trong tương lai gần, bạn sẽ không phải tạo một số tài khoản trên mỗi trang web. Một trang web (mà bạn tin tưởng nhất) có thể được sử dụng để đăng nhập vào tất cả các trang web khác. Vì vậy, bạn sẽ chỉ phải nhớ một mật khẩu.
OAuthđã xảy ra khi chúng tôi đăng ký tài khoản SO bằng nút Facebook / Google.
Nguồn: Nhà cung cấp dịch vụ OAuth1
OAuth là một tiêu chuẩn mở để ủy quyền, thường được sử dụng như một cách để người dùng Internet đăng nhập vào các trang web của bên thứ ba bằng tài khoản Microsoft, Google, Facebook hoặc Twitter của họ mà không để lộ mật khẩu.
OAuth là một giao thức được sử dụng từ Chủ sở hữu tài nguyên (facebook, google, tweeter, microsoft live, v.v.) để cung cấp thông tin cần thiết hoặc để cung cấp quyền ghi thành công cho hệ thống bên thứ ba (ví dụ trang web của bạn). Rất có thể không có giao thức OAuth, thông tin đăng nhập sẽ có sẵn cho các hệ thống phần thứ ba, đây sẽ là cách giao tiếp không phù hợp giữa các hệ thống đó.