OAuth 2.0 101

Schrijver: Judy Howell
Datum Van Creatie: 26 Juli- 2021
Updatedatum: 23 Juni- 2024
Anonim
OAuth 2.0: An Overview
Video: OAuth 2.0: An Overview

Inhoud


Afhaal:

OAuth 2.0 is ontworpen om de oorspronkelijke versie van het protocol te verbeteren. Volgens zijn critici slaagt het op sommige gebieden en faalt op andere.

Veel luxe auto's worden geleverd met een valet-sleutel. Het is een speciale sleutel die u de parkeerwachter geeft en in tegenstelling tot uw gewone sleutel, zal de auto alleen een korte afstand kunnen rijden terwijl de toegang tot de kofferbak en de mobiele telefoon aan boord wordt geblokkeerd. Ongeacht de beperkingen die de valet-sleutel oplegt, is het idee erg slim. Je geeft iemand beperkte toegang tot je auto met een speciale sleutel, terwijl je een andere sleutel gebruikt om al het andere te ontgrendelen. - De officiële gids voor OAuth 1.0

Dat is hoe de community-gebaseerde specificatierichtlijnen OAuth al in 2007 verklaarden. En hoewel OAuth 2.0 een volledig nieuw protocol is, is dezelfde beschrijving nog steeds van toepassing - OAuth blijft een manier voor gebruikers om derden toegang (en beperkte toegang) te verlenen aan hun middelen zonder hun wachtwoorden te delen.

Als u regelmatig op internet bent, is de kans groot dat u een site bent tegengekomen die OAuth gebruikt. 'S Werelds grootste websites, zoals Google, MySpace,, Photobcuket, Yahoo, Evernote en Vimeo, gebruiken immers deze authenticatiestandaard. Lees verder voor meer informatie over deze standaard en waarom de volgende generatie, OAuth 2.0, nog steeds op een relatief experimentele basis wordt gebruikt.

Wat is OAuth 2.0?

Eerst moet u weten wat OAuth als protocol doet: het maakt applicatie-programmeerinterface-autorisatie mogelijk tussen twee web- of desktop-apps. Hierdoor kunnen websites beschermde bronnen delen met andere websites en diensten.

Als u bijvoorbeeld Scramble met vrienden op uw iPad speelt, kunt u uw inloggegevens invoeren, zodat de game door uw vriendenlijst kan kijken om te zien welke van hen de game spelen - en anderen uitnodigen om mee te doen. Of u kunt contact leggen met vrienden op Google+ op basis van wie u volgt. Dit soort toepassingen zijn handig voor gebruikers, maar ze houden in dat u een site of programma toegang geeft tot informatie over u op een andere site.

OAuth 2.0 werkt net als de eerste incarnatie van OAuth, maar het is een geheel nieuwe standaard. Dit betekent dat het niet achterwaarts compatibel is met OAuth 1.0. Versie 2.0 heeft veel van de problemen met de originele OAuth opgelost en verbeteringen aangebracht.

Terwijl in principe de architectuur van de eerste versie werd behouden, verbeterde 2.0 op:
  • Verificatie en handtekeningen. OAuth 2.0 maakte het eenvoudiger voor iemand aan de client om het protocol te implementeren.
  • Gebruikerservaring en alternatieve manieren om tokens uit te geven
  • Prestaties, vooral bij grotere websites en services
Een meer uitgebreide uitleg over wat nieuw is in OAuth 2.0 wordt gegeven door Eran Hammer, die vroeger deel uitmaakte van de OAuth-werkgroep. U kunt hier toegang krijgen. Merk echter op dat Hammer de werkgroep in juli 2012 heeft verlaten en problemen met beveiligingsproblemen aan de orde heeft gesteld bij de implementatie van de norm. Hoewel OAuth eind 2010 zou moeten zijn afgerond, blijft het een voorgestelde standaard (op het moment van schrijven), hoewel het onderdeel is van de Graph API. Google en Microsoft experimenteren ook met OAuth 2.0-ondersteuning in hun API's.

De voordelen van het gebruik van OAuth 2.0

Een van de beste redenen om OAuth te gebruiken, is dat het delen zoveel gemakkelijker wordt. Waren al gewend om foto's te uploaden naar Instagram en ze automatisch te laten posten op en. Het is eigenlijk dit soort gebruiksgemak en cross-over dat sociale media zo aantrekkelijk blijft maken.

Maar dat is niet alles. Voor eindgebruikers betekent OAuth dat u geen ander profiel hoeft aan te maken. Als u bijvoorbeeld een opmerking bij een artikel wilt achterlaten, kunt u uw of inloggegevens gebruiken om dit te doen, in plaats van dat u zich moet aanmelden voor een account op een bepaalde website. Dit is geweldig voor sites waarop u meestal niet actief bent of die u misschien niet vertrouwt. Het kan de sites ook ten goede komen door ervoor te zorgen dat gebruikers een identiteit hebben, waardoor reactiespam minder waarschijnlijk wordt.

OAuth betekent ook minder wachtwoorden om te onthouden. Het is een best practice om verschillende wachtwoorden te hebben voor verschillende websiteservices. Dus in plaats van een ander wachtwoord voor Pinterest te onthouden, hoeft u alleen uw wachtwoord te gebruiken om toegang te krijgen tot de service. Pinterest ziet je wachtwoord trouwens niet.

U kunt ook beperken tot welke bronnen toegang wordt verkregen via uw OAuth. Wanneer u bijvoorbeeld een game speelt, kunt u opgeven of u de game namens u op uw wall wilt plaatsen.

Voor de ontwikkelaar biedt OAuth 2.0 een reeds ontwikkelde code voor authenticaties, sociale interactieweergave en weergave van gebruikersprofielen. Dit betekent minder bugs voor ontwikkelaars om mee te kampen en een lager risico omdat de API al is opgelost, getest en bewezen. Ten slotte profiteert u ook van minder gegevens die op uw eigen servers moeten worden opgeslagen.

Hoe OAuth 2.0 is ontstaan

Het is vrij duidelijk dat OAuth een reactie is op de oproep voor veilig computergebruik en gebruiksgemak voor verschillende webservices. OAuth 2.0 is daarentegen ontstaan ​​uit de noodzaak om OAuth minder complex te maken. Maar het hele idee voor beide kwam eigenlijk van OpenID.

OpenID is een service waarmee gebruikers zich bij verschillende services kunnen aanmelden door inloggegevens van een andere website te gebruiken. Maar OpenID was zeer beperkt, dus een groep mensen die aan verschillende autorisatieprotocollen voor hun eigen sites werkten, kwamen bij elkaar. De eerste OAuth-implementaties werden in 2007 uitgevoerd en de eerste herziening kwam twee jaar later.

OAuth 2.0 kwam in 2010 op de markt. Het was de bedoeling om zich te concentreren op de eenvoud van de klant en gemakkelijker schaalbaar te zijn en tegelijkertijd de gebruikerservaring te verbeteren.

Uitdagingen die komen?

Hoewel Google, Klout en andere grote namen OAuth 2.0 implementeren, is er mogelijk nog een rotsachtige weg voor dit protocol. Er zijn kritiek vanuit de OAuth 2.0-gemeenschap, waaronder bezorgdheid over de beveiliging van de protocollen (velen denken dat het minder veilig is dan OAuth 1.0).

Volgens Hammer werkt OAuth 2.0, indien gebruikt door een competente programmeur die goed thuis is in webbeveiliging. Helaas past slechts een kleine minderheid van ontwikkelaars die rekening.

Bovendien zijn OAuth 2.0-codes niet herbruikbaar. OAuth 2.0-protocollen die bijvoorbeeld worden gebruikt, zouden niet gemakkelijk door andere sites kunnen worden gebruikt. Bovendien is het nieuwe protocol eigenlijk veel complexer dan het origineel.

Maar de echte kicker voor veel mensen is dat OAuth 2.0 geen echt voordeel of verbetering lijkt te bieden ten opzichte van 1.0. Hammer schrijft dat als je 1.0 met succes implementeert, er geen reden is om te upgraden naar 2.0.

OAuth 2.0 is echter nog steeds springlevend. Als het de kritieken en kwesties behandelt die worden opgeworpen, kan het nog steeds een plaats vinden als een zeer krachtig protocol. Op het moment van schrijven wordt versie 1.0 echter nog steeds beschouwd als de officiële, stabiele en geteste versie van OAuth. Desalniettemin, voor ontwikkelaars die met grote namen in de online wereld willen werken, kan het veilig implementeren van dit protocol een belangrijke vaardigheid worden in de niet al te verre toekomst.