Các lựa chọn thay thế cho OAuth?


20

Ngành công nghiệp Web đang thay đổi / đã chuyển sang sử dụng OAuth khi mở rộng dịch vụ API cho người tiêu dùng & nhà phát triển bên ngoài. Có một số sự tao nhã trong đơn giản .... và tốt, quy trình OAuth 3 bước không quá tệ ... tôi chỉ thấy đó là cách tốt nhất trong một loạt các tùy chọn xấu.

Có những lựa chọn thay thế ngoài kia có thể tốt hơn và an toàn hơn không?

Tham chiếu bảo mật được lấy từ các URL sau:

Tôi đã bắt gặp điều này trên sàn giao dịch bảo mật CNTT và nghĩ rằng nó sâu sắc từ quan điểm bảo mật:

Có lẽ SAML 2.0 là một sự thay thế?

Còn OpenID thì sao?

Mục đích của câu hỏi này là từ quan điểm lập trình.

OAuth có phải là lựa chọn tốt nhất tồn tại ngày nay không ...?

Có các tùy chọn thay thế tồn tại cho phép tôi mở rộng Ứng dụng web của mình tới người tiêu dùng tốt hơn từ quan điểm bảo mật, quan điểm triển khai, tuổi thọ (sẽ không yêu cầu làm lại trong vài tháng) và cho phép hỗ trợ các ứng dụng di động tiêu thụ web của tôi ứng dụng.


2
Tốt hơn theo cách nào? Bạn thấy điều gì là sai với OAuth?
Dean Harding


"Ngành công nghiệp Web2.0 đang thay đổi / đã chuyển sang sử dụng OAuth" Đó là một tuyên bố táo bạo. Mặc dù SE là một trong số ít các ví dụ sử dụng OAuth, tôi không cảm thấy rằng phần lớn các trang web đều như vậy.
Tamás Szelei

facebook, twitter, weibo, yahoo, google, 5.0 ... tất cả họ đều cung cấp nó để tiêu thụ api / dịch vụ của họ..không?
sdolgy

1
Các câu hỏi quan trọng là có bao nhiêu trang web sử dụng chúng?
Tamás Szelei

Câu trả lời:


11

Thứ nhất, OAuth không phải là sự thay thế đăng nhập . Đó là một nhiệm vụ được giải quyết bằng OpenID và tương tự.

OAuth là một giao thức ủy quyền chuyển dữ liệu tạm thời. Đối với loại tác vụ mà bạn muốn nhập dữ liệu của mình từ trang webA sang trang webB, bạn sẽ sử dụng OAuth. Nhưng bạn vẫn đăng nhập vào websiteA bằng OpenID. Tuy nhiên, Google gần đây đã công bố một giao thức kết hợp cả hai, vì vậy tôi đoán sự khác biệt giữa chúng có nhiều bùn hơn trước.

Một thay thế cho OAuth sẽ là Facebook Connect . Tôi không chắc chắn tôi biết bất kỳ giải pháp thay thế nào cho điều đó (có lẽ một số hệ thống bảo mật RPC có thể phù hợp với web)


Cảm ơn đã giải thích sự khác biệt. Tôi đã tổ chức một giả định hoàn toàn sai!
Matt Ellen

các khái niệm về OAuth không được sử dụng để xác thực điện thoại thông minh cho các trang web? giống như một ứng dụng twitter hoặc 5.0 cho Android ...?
sdolgy

1
@sdolgy: có, đó là một phương tiện để xác thực ứng dụng của bên thứ ba với dịch vụ của bạn mà không phải tiết lộ mật khẩu của bạn với ứng dụng đó.
Dean Harding

Điều đáng nói là điều này không bao gồm tất cả các loại OAuth, ví dụ: Thông tin khách hàng.
Robert Grant
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.