Смутно о OAuth

Question

Смутно о OAuth

Назовите меня новичком, назовите меня глупым, оцените эту тему. Делай, как хочешь, я просто здесь, чтобы задать вопрос и, надеюсь, узнать что-то от него.

Итак, я делаю API для своего сайта сегодня (хорошо пытаюсь), и я заметил эту "вещь" на большинстве популярных сайтов API, таких как Twitter, Foursquare, Tumblr под названием "OAuth". Из моих исследований сегодня я понял, что это в основном способ дать потребителю токен для доступа к ограниченным данным от провайдера в зависимости от того, что пользователь выбрал, не передавая пользователю свой пароль и имя пользователя.

Но почему мне нужно использовать OAuth, почему я не могу просто выдавать API для ключа пользователя, и они просто используют это? Затем я посмотрю, разрешил ли пользователь доступ к приложению, и им будет предоставлен доступ для приложения для получения информации из их учетной записи, например фотографий.

Что-то, что меня тоже смутило, - это то, почему API Tumblr использует оба. Он читает подробности блога, используя простой api key, но публикуя в блогах, вам нужна подпись OAuth.

+2

authentication api oauth

Frank 23 июл. '12 в 23:24

источник поделиться

1 ответ

Связанные вопросы

210

OAuth 2.0: Преимущества и варианты использования - почему?

Похожие вопросы

852

Какая разница между OpenID и OAuth?

548

Как OAuth 2 отличается от OAuth 1?

372

Как защитить веб-API ASP.NET

240

Какова цель неявного типа авторизации гранта в OAuth 2?

155

SSO с CAS или OAuth?

133

Защита моего REST API с помощью OAuth, но все же позволяющая осуществлять аутентификацию через сторонних поставщиков OAuth (используя DotNetOpenAuth)

10

OAuth (токен доступа) Vs API Key

2

API Tumblr - проблемы OAuth: верификатор OAuth и RESTConsole

2

Как ключ потребительского ключа и потребительского ключа работает в Oauth?

1

Некоторая путаница в отношении oAuth

Посмотрите другие вопросы по меткам authentication api oauth или Задайте вопрос

Umesh Awasthi · Answer 1 · 2012-07-24T09:50:51+0000

OAuth - это протокол и имеет набор спецификаций, определенных определенной группой экспертов, чтобы определить, как обмениваться данными. В основном то, что вы видите, является лишь частью механизма OAuth, и существует много механизмов коммуникации и дрожания рук для обеспечения безопасности пользовательских данных, а также предотвращения несанкционированного доступа к данным.

Механизм OAuth выходит на 2 уровня

трехсторонняя аутентификация
Двусторонняя аутентификация

Оба имеют свои положительные и отрицательные стороны, и есть набор процедур, которые необходимо соблюдать для обеспечения безопасности и целостности данных.

Разрешение доступа только на основе ключа access_token/consumer действительно очень слабый механизм безопасности и может быть легко взломан любым, кто получает доступ к вашему потребительскому ключу, в то время как система OAuth гарантирует совместное использование access_token с ограничением по времени.

Подробнее см. этот поток oauth-2-0-benefits-and-use-cases-why