Альтернатива OAuth?

StackOverflow https://stackoverflow.com/questions/803625

  •  03-07-2019
  •  | 
  •  

Вопрос

Я изучал OAuth, чтобы делиться ресурсами моего сайта с другими сайтами.Но несколько дней назад сообщалось о дыре в спецификации OAuth.http://oauth.net/advisories/2009-1

Многие сайты решили остановить OAuth до тех пор, пока не будет выпущена исправленная версия.

Есть ли в настоящее время альтернатива OAuth?Мне нужен открытый стандарт и безопасный протокол авторизации.

Это было полезно?

Решение

OAuth был создан потому, что не существовало стандартов, решающих ту же проблему.Скоро появится фиксированная спецификация OAuth.Это будет довольно небольшое изменение существующего протокола.

Другие советы

В краткосрочной перспективе лучше всего вернуться к базовым механизмам аутентификации (требующим от пользователей ввода своих учетных данных на ваш сайт для чужого сайта).

Как сказал Джонатан, дыра в спецификации скоро будет исправлена.

Oz это web authorization protocol на основе лучших отраслевых практик. Oz сочетает в себе Hawk authentication protocol с Iron encryption protocol предоставить простое в использовании и безопасное решение для предоставления и аутентификации стороннего доступа к API от имени пользователя или приложения.ОЗ ссылка на github

Oz основывается на хорошо понятных концепциях, лежащих в основе OAuth protocol.Хотя терминология была обновлена, чтобы отразить общие термины, используемые сегодня при создании приложений с доступом третьих сторон, общая архитектура осталась прежней.

Существовала пересмотренная версия спецификации OAuth 1.0, но, поскольку был задан этот вопрос, версия OAuth 2.0 становится стабильной и часто является рекомендуемым протоколом.

OAuth версии 2.O — немного сложный протокол по сравнению со своим предшественником, но более безопасный.Он специально разработан для решения проблем безопасности предприятий.В настоящее время Фейсбук и Google потоки аутентификации основаны на OAuth 2.0.

Oauth разработал новый стандарт OAuth 2.0, который намного более безопасен, чем OAuth 1.0 и 1.0a. Он удаляет токен доступа и секрет доступа, а также вводит токен доступа и токен обновления. Токен доступа в Oauth 2.0 проверяется в течение определенного периода времени, после чего он регенерируется или обновляется с использованием токена обновления.

Лицензировано под: CC-BY-SA с атрибуция
Не связан с StackOverflow
scroll top