•  03-07-2019
  •  | 
  •  

我一直在调查OAuth,以便将我网站上的资源分享给其他网站。 但是,几天前报道了OAuth规范的漏洞。 http://oauth.net/advisories/2009-1

许多网站决定停止OAuth,直到发布固定版本。

目前,我们可以替代OAuth吗? 我想要一个开放标准和安全的授权协议。

有帮助吗?

解决方案

建立OAuth是因为没有任何现有标准可以解决同样的问题。固定的OAuth规范即将推出。这对现有协议来说只是一个很小的变化。

其他提示

在短期内,您最好的选择是依靠基本身份验证机制(要求用户将其凭据输入您的站点以供外国站点使用)。

像乔纳森所说的那样,这个洞很快就会在规范中得到修复。

Oz 是基于行业最佳实践的 Web授权协议 Oz Hawk身份验证协议 Iron加密协议相结合,提供了一个简单易用且安全的解决方案,用于授予和验证第三方访问权限代表用户或应用程序的API。 OZ github链接

Oz 建立在 OAuth协议背后的众所周知的概念之上。虽然术语已经更新,以反映当前使用第三方访问构建应用程序时使用的常用术语,但总体架构是相同的。

有一个OAuth 1.0规范的修订版本,但由于这个问题被问到OAuth版本2.0变得稳定,并且通常是推荐的协议。

OAuth版本2.O与其前身相比有点复杂,但更安全。它专为解决企业的安全问题而量身定制。目前 Facebook Google 身份验证流程基于OAuth 2.0

Oauth提出了新的OAuth 2.0标准,它比OAuth 1.0和1.0a更安全。它使用访问令牌和访问密钥,并引入了访问令牌和刷新令牌.Oauth 2.0中的访问令牌在特定时间范围内验证,之后,使用刷新令牌重新生成或刷新。

许可以下: CC-BY-SA归因
不隶属于 StackOverflow
scroll top