•  03-07-2019
  •  | 
  •  

質問

OAuthを調査して、自分のサイトのリソースを他のサイトと共有しています。 しかし、OAuth仕様のホールは数日前に報告されました。 http://oauth.net/advisories/2009-1

多くのサイトは、修正バージョンがリリースされるまでOAuthを停止することを決定しました。

現在、OAuthに代わるものはありますか? オープンスタンダードで安全な認証プロトコルが必要です。

役に立ちましたか?

解決

同じ問題を解決する既存の標準がなかったため、OAuthが構築されました。修正されたOAuth仕様はまもなく公開されます。既存のプロトコルに対するかなり小さな変更になります。

他のヒント

短期的には、基本認証メカニズムに頼るのが最善の策です(外部サイトのサイトに資格情報を入力するようユーザーに要求する)。

ジョナサンが言ったように、スペックの穴は間もなく修正されるでしょう。

Oz は、業界のベストプラクティスに基づいた web認証プロトコルです。 Oz は、 Hawk認証プロトコル Iron暗号化プロトコルを組み合わせて、サードパーティアクセスを許可および認証するための使いやすく安全なソリューションを提供します。ユーザーまたはアプリケーションに代わるAPI。 OZ githubリンク

Oz は、 OAuthプロトコルの背後にあるよく知られた概念に基づいています。サードパーティアクセスを使用してアプリケーションを構築するときに今日使用される一般的な用語を反映するために用語が更新されましたが、全体的なアーキテクチャは同じです。

OAuth 1.0仕様の改訂版がありましたが、この質問が尋ねられて以来、OAuthバージョン2.0は安定しており、多くの場合推奨プロトコルになります。

OAuthバージョン2.Oは、以前のバージョンと比較して少し複雑なプロトコルですが、より安全です。企業のセキュリティ上の懸念に対処するために特別に調整されています。現在、 Facebook および Google 認証フローはOAuth 2.0に基づいています

Oauthは、OAuth 1.0および1.0aよりもはるかに安全な新しいOAuth 2.0標準を考案しました。アクセストークンとアクセスシークレットを導入し、アクセストークンとリフレッシュトークンを導入しました。Oauth2.0のアクセストークンは特定の時間枠で検証され、その後、更新トークンを使用して再生成または更新されます。

ライセンス: CC-BY-SA帰属
所属していません StackOverflow
scroll top