Oautas 2.0 101

Daugybė prabangių automobilių yra su automatiniu rakteliu. Tai yra specialus raktas, kurį suteikiate stovėjimo aikštelės palydovui, ir, skirtingai nei įprastas raktas, leisite mašiną nuvažiuoti tik trumpai, užblokavę prieigą prie bagažinės ir įmontuoto mobiliojo telefono. Nepaisant apribojimų, kuriuos kelia „valet“ klavišas, idėja yra labai protinga. Jūs suteikiate ribotą priėjimą prie jūsų automobilio naudodami specialų raktą, o naudodami kitą raktą atrakinate visa kita. - Oficialus „OAuth 1.0“ vadovas

Štai kaip bendruomeninių specifikacijų gairės paaiškino „OAuth“ dar 2007 m. Ir nors „OAuth 2.0“ yra visiškai naujas protokolas, vis tiek galioja tas pats aprašymas - „OAuth“ išlieka būdas vartotojams suteikti trečiųjų šalių prieigą (ir ribotą prieigą) savo išteklius nesidalindami slaptažodžiais.

Jei reguliariai naudojatės internetu, gali būti, kad esate susidūrę su svetaine, kurioje naudojama „OAuth“. Pagaliau šį autentifikavimo standartą naudoja didžiausios pasaulio svetainės, tokios kaip „Facebook“, „Google“, „MySpace“, „Twitter“, „Photobcuket“, „Yahoo“, „Evernote“ ir „Vimeo“. Perskaitykite toliau, kad sužinotumėte daugiau apie šį standartą ir kodėl naujos kartos „OAuth 2.0“ vis dar naudojami palyginti eksperimentiniu pagrindu.

Kas yra „OAuth 2.0“?

Pirmiausia turite žinoti, ką daro „OAuth“ kaip protokolas: tai leidžia programų programavimo sąsajos autorizaciją tarp dviejų žiniatinklio ar darbalaukio programų. Dėl to svetainės gali bendrinti saugomus išteklius su kitomis svetainėmis ir paslaugomis.

Pvz., Jei žaidžiate „Scramble“ su draugais „iPad“, galėtumėte įvesti „Facebook“ kredencialus, leisdami žaidimui peržvelgti savo draugų sąrašą, kad pamatytumėte, kuris iš jų žaidžia žaidimą, ir pakvieskite kitus prisijungti. Arba galite susisiekti su draugais sistemoje „Google+“ pagal tai, kas jus stebi „Twitter“. Šios programos yra patogios vartotojams, tačiau joms reikia suteikti prieigą prie vienos svetainės ar programos informacijos apie jus kitoje svetainėje.

„OAuth 2.0“ veikia panašiai kaip pirmasis „OAuth“ įsikūnijimas, tačiau tai visiškai naujas standartas. Tai reiškia, kad jis nėra suderinamas su „OAuth 1.0“. 2.0 versija išvalė daugelį problemų, susijusių su originaliu „OAuth“, ir patobulino.

Iš esmės išlaikant pirmosios versijos architektūrą, 2.0 patobulinta:

• Autentifikavimas ir parašai. „OAuth 2.0“ palengvino protokolo įgyvendinimą kliento pusėje esančiam asmeniui.
• Vartotojo patirtis ir alternatyvūs žetonų išdavimo būdai
• Našumas, ypač naudojant didesnes svetaines ir paslaugas

Išsamesnį paaiškinimą, kas naujo su „OAuth 2.0“, pateikė Eranas Hammeris, kuris anksčiau buvo „OAuth“ darbo grupės narys. Jį galite pasiekti čia. Tačiau atkreipkite dėmesį, kad Hammeris paliko darbo grupę 2012 m. Liepos mėn., Nurodydamas saugumo problemas įgyvendinant standartą. Todėl, nors „OAuth“ turėjo būti baigta kurti iki 2010 m. Pabaigos, jis išlieka siūlomu standartu (rašymo metu), nors jis yra „Facebook“ „Graph API“ dalis. „Google“ ir „Microsoft“ taip pat eksperimentuoja su „OAuth 2.0“ palaikymu savo API.

„OAuth 2.0“ naudojimo pranašumai

Viena geriausių „OAuth“ naudojimo priežasčių yra ta, kad dėl to pasidalinimas yra daug lengvesnis. Mes jau įpratę įkelti nuotraukas į „Instagram“ ir jas automatiškai skelbti „Twitter“ ir „Facebook“. Tiesą sakant, būtent toks paprastas naudojimas ir perėjimas į aplinką ir toliau daro socialinę mediją tokią patrauklią.

Bet tai dar ne viskas. Galutiniams vartotojams „OAuth“ reiškia, kad jums nereikia kurti kito profilio. Pvz., Jei norite palikti straipsnio komentarą, galite naudoti savo „Facebook“ ar „Twitter“ kredencialus, užuot užregistravę sąskaitą tam tikroje svetainėje. Tai puikiai tinka svetainėms, kuriose paprastai nesate aktyvi, arba kuriomis galite nepasitikėti. Tai taip pat gali būti naudinga svetainėms, užtikrinant, kad vartotojai turi „Facebook“ tapatybę, todėl komentarų šlamštas bus mažiau tikėtinas.

„OAuth“ reiškia ir mažiau įsimenamų slaptažodžių. Geriausia yra turėti skirtingus slaptažodžius skirtingoms svetainių paslaugoms. Taigi, užuot įsimenę kitą slaptažodį, norėdami prisijungti prie paslaugos, turite naudoti tik „Facebook“ slaptažodį. beje, nematys jūsų slaptažodžio.

Taip pat galite apriboti, kokie ištekliai pasiekiami naudojant „OAuth“. Pvz., Žaisdami žaidimą „Facebook“ galite nurodyti, ar norite, kad žaidimas būtų paskelbtas ant sienos jūsų vardu, ar ne.

Kūrėjui „OAuth 2.0“ pateikia jau sukurtą autentifikavimo, socialinės sąveikos ir vartotojo profilio rodymo kodus. Tai reiškia, kad kūrėjams reikia mažiau klaidų ir mažesnė rizika, nes API jau yra suderinta, patikrinta ir patikrinta. Galiausiai jūs taip pat naudosite tuo, kad turite mažiau duomenų saugoti savo serveriuose.

Kaip atsirado „OAuth 2.0“

Visiškai akivaizdu, kad „OAuth“ yra atsakas į raginimą saugiai naudoti kompiuterį ir lengvai naudotis įvairiomis interneto paslaugomis. Kita vertus, „OAuth 2.0“ atsirado dėl poreikio padaryti „OAuth“ ne tokį sudėtingą. Tačiau visa abiejų idėja kilo iš „OpenID“.

„OpenID“ yra paslauga, leidusi vartotojams prisijungti prie įvairių paslaugų, naudojant prisijungimo duomenis iš kitos svetainės. Tačiau OpenID buvo labai ribotas, todėl susibūrė grupė žmonių, dirbančių pagal skirtingus autorizacijos protokolus savo svetainėms. Pirmieji „OAuth“ diegimai buvo atlikti 2007 m., O pirmoji peržiūra įvyko po dvejų metų.

„OAuth 2.0“ pasirodė į sceną 2010 m. Jos tikslas buvo sutelkti dėmesį į kliento ir kūrėjo paprastumą bei būti lengviau keičiamo dydžio, tuo pačiu gerinant vartotojo patirtį.

Iššūkiai priešakyje?

Nors „Google“, „Klout“ ir kiti dideli vardai diegia „OAuth 2.0“, vis dar gali būti drąsus kelias iki šio protokolo. „OAuth 2.0“ bendruomenė sulaukia kritikos, įskaitant susirūpinimą dėl protokolo saugumo (daugelis mano, kad jis nėra toks saugus kaip „OAuth 1.0“).

Anot Hammerio, jei jį naudoja kompetentingas programuotojas, puikiai išmanantis žiniatinklio saugą, „OAuth 2.0“ veikia. Deja, tik maža dalis kūrėjų tinka šiai sąskaitai.

Be to, „OAuth 2.0“ kodai nėra pakartotinai naudojami. Pvz., „OAuth 2.0“ protokolai, kuriuos naudoja „Facebook“, nebus lengvai naudojami kitoje svetainėje. Be to, naujasis protokolas iš tikrųjų yra daug sudėtingesnis nei originalus.

Tačiau tikrasis daugelio žmonių smūgis yra tas, kad neatrodo, kad „OAuth 2.0“ teikia didesnį pranašumą nei pagerina 1.0. Hammeris rašo, kad jei sėkmingai diegiate 1.0, nėra jokios priežasties atnaujinti iki 2.0.

Tačiau „OAuth 2.0“ vis dar yra gyvas. Jei jame bus nagrinėjama kritika ir keliami klausimai, ji vis tiek gali rasti vietą kaip labai galingas protokolas. Tačiau rašymo metu 1.0 versija vis dar laikoma oficialia, stabilia ir patikrinta „OAuth“ versija. Nepaisant to, kūrėjams, norintiems dirbti su dideliais vardais internetiniame pasaulyje, šio protokolo saugus įgyvendinimas gali tapti pagrindiniu įgūdžiu, esančiu netolimoje ateityje.