Смутно о OAuth

Назовите меня новичком, назовите меня глупым, оцените эту тему. Делай, как хочешь, я просто здесь, чтобы задать вопрос и, надеюсь, узнать что-то от него.

Итак, я делаю API для своего сайта сегодня (хорошо пытаюсь), и я заметил эту "вещь" на большинстве популярных сайтов API, таких как Twitter, Foursquare, Tumblr под названием "OAuth". Из моих исследований сегодня я понял, что это в основном способ дать потребителю токен для доступа к ограниченным данным от провайдера в зависимости от того, что пользователь выбрал, не передавая пользователю свой пароль и имя пользователя.

Но почему мне нужно использовать OAuth, почему я не могу просто выдавать API для ключа пользователя, и они просто используют это? Затем я посмотрю, разрешил ли пользователь доступ к приложению, и им будет предоставлен доступ для приложения для получения информации из их учетной записи, например фотографий.

Что-то, что меня тоже смутило, - это то, почему API Tumblr использует оба. Он читает подробности блога, используя простой api key, но публикуя в блогах, вам нужна подпись OAuth.

+2
источник поделиться
1 ответ

OAuth - это протокол и имеет набор спецификаций, определенных определенной группой экспертов, чтобы определить, как обмениваться данными. В основном то, что вы видите, является лишь частью механизма OAuth, и существует много механизмов коммуникации и дрожания рук для обеспечения безопасности пользовательских данных, а также предотвращения несанкционированного доступа к данным.

Механизм OAuth выходит на 2 уровня

  • трехсторонняя аутентификация
  • Двусторонняя аутентификация

Оба имеют свои положительные и отрицательные стороны, и есть набор процедур, которые необходимо соблюдать для обеспечения безопасности и целостности данных.

Разрешение доступа только на основе ключа access_token/consumer действительно очень слабый механизм безопасности и может быть легко взломан любым, кто получает доступ к вашему потребительскому ключу, в то время как система OAuth гарантирует совместное использование access_token с ограничением по времени.

Подробнее см. этот поток oauth-2-0-benefits-and-use-cases-why

+2
источник

Посмотрите другие вопросы по меткам или Задайте вопрос