الرموز والدورات Oauth في الراحة
https://stackoverflow.com/questions/1672530
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
في اللحظة الأخرى، قرأت مقالا عن OAuth. ووصفها خاصة الرموز التي يتم تبادلها بين مزود العميل والخدمات خلال سلسلة من الطلبات.
كما ذكر المقال أن OAUTH يكسب شعبية كبيرة في واجهات برمجة تطبيقات مريحة كطبقة تفويض. كما فهمت، يجب أن تبقى الراحة عديمة الجنسية تماما.
السؤال: لا يتكرر هذا المبنى TORCED TORLPED TORKENT TORLPEDO "كونه عديمي الجنسية"؟ IMHO يمكن أن ينظر إلى الرموز على أنه نوع من معرف الجلسة، لا يمكنهم؟
المحلول
يتمتع الرموز OAuth صراحة معرف جلسة، والتفاعل ليس عديمي الجنسية بين الطلبات في بروتوكول تفاضي الرمز المميز OAuth حيث يجب إجراء الطلبات بتسلسل محدد، وأنها تتطلب تخزين لكل عميل تخزين على الخادم كما تحتاج إلى تتبع الأشياء مثل تم إصدارها. نعم، تنتهك OAUTH المبادئ الصارمة للهندسة المعمارية المريحة.
لسوء الحظ هناك العالم الحقيقيتيم للمواجهة مع حيث نحتاج إلى القيام بأشياء مثل السماح للتطبيقات بمصادقة نيابة عن الأفراد دون طلب كلمة المرور الخاصة بهم، والتي تقوم بها OAuth جيدا إلى حد ما. سيكون من المستحيل تنفيذ مخطط مصادقة آمن بالمثل دون هذا النوع من الولاية. في الواقع، كانت واحدة من التغييرات التي يتطلبها OAuth (1.0A) هي إضافة أكثر الدولة إلى بروتوكول التفاوض الرمز المميز للتخفيف من مخاطر أمنية.
لذلك، هل من مبدأ طوربيد بقية عديمي الجنسية؟ نعم. هل هذا الأمر؟ ليس إلا إذا كنت تعيش في برج العاج :-)
نصائح أخرى
المصادقة هي حالة يجب تتبعها بطريقة أو بأخرى عند التعامل في تفاعلات الويب. في نهاية المطاف إذا كان تطبيقك مريح أم لا، يجب أن يكون الخادم قادرا على تتبع كل مستخدمين "حالة مصادقة" ولسوء الحظ يتطلب ذلك نوعا من التحايل على الطبيعة الكامنة الجنسية الأساسية لل http وأي نقل / تقنيات إضافية (مثل الراحة) على رأس هو - هي.
وبالتالي لتطوير أي نوع من التطبيقات المصنعة، يجب أن يكون مبدأ الدولة مقروه في مكان ما، وإذا كان ذلك يحدث ذلك في أعلى من الراحة، فهذا ما يجب أن يكون!
