Alternative a OAuth?


20

Il settore Web si sta spostando / è passato all'utilizzo di OAuth durante l'estensione dei servizi API a consumatori e sviluppatori esterni. C'è un po 'di eleganza in termini semplici ... e beh, il processo OAuth in 3 passaggi non è poi così male ... trovo solo che sia il migliore di un brutto mucchio di opzioni.

Esistono alternative là fuori che potrebbero essere migliori e più sicure?

Il riferimento di sicurezza è derivato dai seguenti URL:

L'ho trovato nello scambio dello stack di sicurezza IT e ho pensato che fosse toccante dal punto di vista della sicurezza:

Forse SAML 2.0 è un'alternativa?

Che dire di OpenID ?

Lo scopo di questa domanda è dal punto di vista della programmazione.

OAuth è l' opzione migliore che esiste oggi ...?

Esistono opzioni alternative che mi consentano di estendere la mia applicazione Web ai consumatori che sono migliori dal punto di vista della sicurezza, del punto di vista dell'implementazione, della longevità (non richiederà rilavorazione in pochi mesi) e abilitando il supporto delle applicazioni mobili che consumano il mio web applicazione.


2
Meglio in che modo? Cosa vedi che è sbagliato in OAuth?
Dean Harding,


"Il settore Web 2.0 si sta spostando / è passato all'utilizzo di OAuth" È un'affermazione audace. Mentre SE è uno dei pochi esempi che usano OAuth, non credo che la maggior parte dei siti lo faccia.
Tamás Szelei,

facebook, twitter, weibo, yahoo, google, foursquare ... lo forniscono tutti per consumare le loro API / servizi..no?
sdolgy,

1
La domanda importante è: quanti siti li utilizzano?
Tamás Szelei,

Risposte:


11

Innanzitutto, OAuth non è un sostituto del login . Questo è un compito risolto da OpenID e simili.

OAuth è un protocollo temporaneo di autorizzazione al trasferimento dei dati. Per il tipo di attività in cui desideri importare i tuoi dati dal sito Web A al sito Web B, utilizzeresti OAuth. Ma continueresti ad accedere al sito WebA usando OpenID. Tuttavia, Google ha recentemente annunciato un protocollo che unisce i due, quindi immagino che la differenza tra loro sia più fangosa di prima.

Un'alternativa a OAuth sarebbe Facebook Connect . Non sono sicuro di conoscere alternative a questo (forse alcuni dei sistemi di sicurezza RPC potrebbero essere adatti per il web)


Grazie per aver spiegato la distinzione. Ho assunto un presupposto completamente sbagliato!
Matt Ellen,

i concetti di OAuth non vengono utilizzati per autenticare gli smartphone sui siti Web? come un'app twitter o foursquare per Android ...?
sdolgy,

1
@sdolgy: sì, è un mezzo per autenticare un'app di terze parti con il tuo servizio senza dover rivelare la password a quell'app.
Dean Harding,

Vale la pena ricordare che questo non copre tutti i tipi di OAuth, ad esempio le credenziali del cliente.
Robert Grant,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.