O alternativa alternativa?
-
03-07-2019 - |
Domanda
Ho studiato OAuth per condividere risorse nel mio sito con altri siti. Tuttavia, alcuni giorni fa è stato segnalato un buco nella specifica di OAuth. http://oauth.net/advisories/2009-1
Molti siti hanno deciso di interrompere OAuth fino al rilascio della versione fissa.
Attualmente, possiamo avere qualche alternativa a OAuth? Voglio un protocollo di autorizzazione standard aperto e sicuro.
Soluzione
OAuth è stato creato perché non c'erano standard esistenti che risolvessero lo stesso problema. Una specifica OAuth fissa sarà presto disponibile. Sarà una piccola modifica al protocollo esistente.
Altri suggerimenti
A breve termine, la soluzione migliore è ricorrere ai meccanismi di autenticazione di base (che richiedono agli utenti di immettere le proprie credenziali nel proprio sito per il sito straniero).
Come ha detto Jonathan, il buco verrà presto risolto nelle specifiche.
Oz
è un protocollo di autorizzazione web
basato sulle migliori pratiche del settore. Oz
combina il protocollo di autenticazione Hawk
con il protocollo di crittografia Iron
per fornire una soluzione semplice da usare e sicura per garantire e autenticare l'accesso di terze parti a un'API per conto di un utente o di un'applicazione.
OZ github link
Oz
si basa sui concetti ben compresi alla base del protocollo OAuth
. Mentre la terminologia è stata aggiornata per riflettere i termini comuni utilizzati oggi quando si creano applicazioni con accesso di terze parti, l'architettura complessiva è la stessa.
Esisteva una versione rivista della specifica OAuth 1.0, ma da quando questa domanda è stata posta OAuth versione 2.0 sta diventando stabile e spesso sarebbe il protocollo consigliato.
Oauth ha messo a punto il nuovo standard OAuth 2.0 che è molto più sicuro di OAuth 1.0 e 1.0a. Scansiona il token di accesso e accede al token di accesso segreto e introdotto e aggiorna. Il token di accesso in Oauth 2.0 è valido per un determinato periodo di tempo, successivamente viene rigenerato o aggiornato utilizzando il token di aggiornamento.