Вопрос
Я изучал OAuth, чтобы делиться ресурсами моего сайта с другими сайтами.Но несколько дней назад сообщалось о дыре в спецификации OAuth.http://oauth.net/advisories/2009-1
Многие сайты решили остановить OAuth до тех пор, пока не будет выпущена исправленная версия.
Есть ли в настоящее время альтернатива OAuth?Мне нужен открытый стандарт и безопасный протокол авторизации.
Решение
OAuth был создан потому, что не существовало стандартов, решающих ту же проблему.Скоро появится фиксированная спецификация OAuth.Это будет довольно небольшое изменение существующего протокола.
Другие советы
В краткосрочной перспективе лучше всего вернуться к базовым механизмам аутентификации (требующим от пользователей ввода своих учетных данных на ваш сайт для чужого сайта).
Как сказал Джонатан, дыра в спецификации скоро будет исправлена.
Oz
это web authorization protocol
на основе лучших отраслевых практик. Oz
сочетает в себе Hawk authentication protocol
с Iron encryption protocol
предоставить простое в использовании и безопасное решение для предоставления и аутентификации стороннего доступа к API от имени пользователя или приложения.ОЗ ссылка на github
Oz
основывается на хорошо понятных концепциях, лежащих в основе OAuth protocol
.Хотя терминология была обновлена, чтобы отразить общие термины, используемые сегодня при создании приложений с доступом третьих сторон, общая архитектура осталась прежней.
Существовала пересмотренная версия спецификации OAuth 1.0, но, поскольку был задан этот вопрос, версия OAuth 2.0 становится стабильной и часто является рекомендуемым протоколом.
Oauth разработал новый стандарт OAuth 2.0, который намного более безопасен, чем OAuth 1.0 и 1.0a. Он удаляет токен доступа и секрет доступа, а также вводит токен доступа и токен обновления. Токен доступа в Oauth 2.0 проверяется в течение определенного периода времени, после чего он регенерируется или обновляется с использованием токена обновления.