OAuth 2.0 101

Yazar: Judy Howell
Yaratılış Tarihi: 26 Temmuz 2021
Güncelleme Tarihi: 23 Haziran 2024
Anonim
OAuth 2.0: An Overview
Video: OAuth 2.0: An Overview

İçerik


Paket servisi:

OAuth 2.0, protokolün orijinal versiyonunu geliştirmek için tasarlanmıştır. Eleştirmenlerine göre, bazı alanlarda başarılı oluyor ve bazılarında başarısız oluyor.

Birçok lüks otomobil bir vale anahtarı ile birlikte gelir. Bu, park görevlisine verdiğiniz özel bir anahtardır ve normal anahtarınızın aksine, bagaja ve tümleşik cep telefonuna erişimi engellerken aracın yalnızca kısa bir sürüş sürmesine izin verir. Vale anahtarının getirdiği kısıtlamalardan bağımsız olarak, fikir çok zekicedir. Başkalarının kilidini açmak için başka bir anahtar kullanırken, aracınıza özel bir anahtarla sınırlı erişim sağlarsınız. - OAuth 1.0 Resmi Kılavuzu

Topluluk temelli spesifikasyon kılavuzlarının OAuth’u 2007’de bu şekilde açıkladığı şekilde açıklandı. Ve OAuth 2.0 tamamen yeni bir protokol olsa da, aynı açıklama hala geçerli - OAuth, kullanıcıların üçüncü taraflara erişim hakkı (ve sınırlı erişim) için bir yol olmaya devam ediyor şifrelerini paylaşmadan kaynaklar.

Düzenli olarak İnternet kullanıyorsanız, OAuth kullanan bir siteye rastlama ihtimaliniz var. Sonuçta, Google, MySpace, Photobcuket, Yahoo, Evernote ve Vimeo gibi dünyanın en büyük web siteleri bu kimlik doğrulama standardını kullanıyor. Bu standart hakkında daha fazla bilgi edinmek ve yeni nesil OAuth 2.0'ın neden hala deneysel olarak kullanıldığını öğrenmek için okumaya devam edin.

OAuth 2.0 Nedir?

Öncelikle, protokol olarak OAuth'un ne yaptığını bilmeniz gerekir: İki Web veya masaüstü uygulaması arasında uygulama programlama arayüzü yetkilendirmesine izin verir. Sonuç olarak, web siteleri korunan kaynakları diğer web siteleri ve servislerle paylaşabilir.

Örneğin, iPad'inizde Scramble oynarsanız, kimlik bilgilerinize girerek, oyunun hangisinin oyun oynadığını görmesi için arkadaş listenizde arama yapmasını ve başkalarının katılmaya davet etmesini sağlayabilirsiniz. Veya sizi takip eden kişiyi temel alarak Google + 'daki arkadaşlarınızla bağlantı kurabilirsiniz. Bu tür uygulamalar kullanıcılar için kullanışlıdır, ancak başka bir sitede sizinle ilgili bilgilere bir site veya program erişimi vermeyi içerir.

OAuth 2.0, OAuth'un ilk enkarnasyonuna benzer şekilde çalışır, ancak tamamen yeni bir standarttır. Bu, OAuth 1.0 ile geriye dönük olarak uyumlu olmadığı anlamına gelir. Sürüm 2.0, orijinal OAuth ile ilgili sorunların çoğunu temizledi ve iyileştirmeler yaptı.

Temel olarak ilk versiyonun mimarisini korurken, 2.0 aşağıdakileri geliştirdi:
  • Kimlik doğrulama ve imzalar. OAuth 2.0, istemci tarafında birisinin protokolü uygulamasını kolaylaştırdı.
  • Kullanıcı deneyimi ve belirteç çıkarmanın alternatif yolları
  • Özellikle daha büyük web sitelerinde ve hizmetlerde performans
OAuth 2.0'daki yenilikler hakkında daha kapsamlı bir açıklama, eskiden OAuth çalışma grubunun bir parçası olan Eran Hammer tarafından sağlandı. Buradan erişebilirsiniz. Ancak Hammer’ın çalışma grubunu Temmuz 2012’de terk ettiğini ve standardın uygulanmasında güvenlikle ilgili sorunların olduğunu belirtti. Sonuç olarak, OAuth'un 2010 yılı sonuna kadar sonuçlandırılması gerekmesine rağmen, s Grafik API'sinin bir parçası olmasına rağmen, önerilen bir standart olmaya devam etmektedir (yazma zamanında). Google ve Microsoft, API'lerinde OAuth 2.0 desteğini de deniyorlar.

OAuth 2.0 Kullanmanın Yararları

OAuth'u kullanmanın en iyi sebeplerinden biri, paylaşmayı çok daha kolay hale getirmesidir. Fotoğrafları Instagram'a yüklemek ve otomatik olarak ve 'a göndermelerini sağlamak için zaten kullanılıyordu. Aslında, sosyal medyayı bu kadar çekici kılmaya devam eden bu tür bir kullanım kolaylığı ve geçişi.

Ama hepsi bu kadar değil. Son kullanıcılar için OAuth, başka bir profil oluşturmanız gerekmediği anlamına gelir. Örneğin, bir makale hakkında yorum yapmak istiyorsanız, belirli bir web sitesinde bir hesaba kaydolmak yerine, sizin veya kimlik bilgilerinizi kullanabilirsiniz. Bu, genellikle etkin olmadığınız veya güvenemeyeceğiniz siteler için harikadır. Ayrıca, kullanıcıların bir kimliğe sahip olmalarını sağlayarak yorum spam'lerini daha az olası hale getirerek sitelere yarar sağlayabilir.

OAuth ayrıca hatırlanması gereken daha az şifre demektir. Farklı web sitesi hizmetleri için farklı şifreler olması en iyi yöntemdir. Bu yüzden Pinterest için başka bir şifreyi ezberlemek yerine, servise erişmek için sadece şifrenizi kullanmanız gerekir. Bu arada Pinterest, şifrenizi görmeyecek.

OAuth'ınız üzerinden hangi kaynaklara erişildiğini de sınırlandırabilirsiniz. Örneğin, bir oyun oynarken, oyunun sizin adınıza duvarda yayınlanmasını isteyip istemediğinizi belirleyebilirsiniz.

Geliştirici için OAuth 2.0, kimlik doğrulama, sosyal etkileşim ekranı ve kullanıcı profili ekranı için zaten geliştirilmiş bir kod sağlar. Bu, API'lerin zaten hata ayıklanmış, test edilmiş ve kanıtlanmış olmasından dolayı geliştiricilerin karşı karşıya kalabileceği daha az hata ve daha düşük risk anlamına gelir. Son olarak, kendi sunucularınızda depolanacak daha az veriye sahip olmanızdan da faydalanabilirsiniz.

OAuth 2.0 Nasıl Geldi

OAuth'un güvenli bilgi işlem çağrısı ve farklı Web servisleri için kullanım kolaylığı için bir cevap olduğu oldukça açık. Öte yandan, OAuth 2.0, OAuth'u daha az karmaşık hale getirme ihtiyacından doğmuştur. Ancak her ikisi için de bütün fikir aslında OpenID'den geldi.

OpenID, kullanıcıların başka bir web sitesinden giriş bilgilerini kullanarak çeşitli servislere giriş yapmalarına izin veren bir servistir. Ancak OpenID çok sınırlıydı, bu yüzden kendi siteleri için farklı yetkilendirme protokolleri üzerinde çalışan bir grup insan bir araya geldi. İlk OAuth uygulamaları 2007'de yapıldı ve ilk revizyon iki yıl sonra geldi.

OAuth 2.0, 2010 yılında sahneye çıktı. Amacı, müşteri geliştiricisinin basitliğine odaklanmak ve kullanıcı deneyimini geliştirirken daha kolay ölçeklenebilir olmaktı.

Önümüzdeki Zorluklar?

Google, Klout ve diğer büyük isimler OAuth 2.0 kullanıyor olsa da, bu protokol için ileride kayalık bir yol olabilir. Protokollerin güvenliği ile ilgili endişeler de dahil olmak üzere, OAuth 2.0 topluluğu içinde eleştiriler var (birçoğu OAuth 1.0'dan daha az güvenli olduğuna inanıyor).

Hammer'a göre, Web güvenliğinde uzman bir programcı tarafından kullanılıyorsa, OAuth 2.0 çalışır. Ne yazık ki, yalnızca küçük bir geliştirici azınlığı bu tasarıya uyar.

Ayrıca, OAuth 2.0 kodları yeniden kullanılamaz. Örneğin, OAuth 2.0 protokolleri tarafından kullanılan diğer siteler tarafından kolayca kullanılamaz. Dahası, yeni protokol aslında orijinalinden çok daha karmaşık.

Ancak birçok insan için asıl tetikleyici, OAuth 2.0'ın 1.0'ın üzerinde herhangi bir gerçek avantaj veya iyileştirme sunmadığıdır. Hammer, başarıyla 1.0 uygularsanız, 2.0'a yükseltmek için hiçbir neden olmadığını yazıyor.

Ancak OAuth 2.0 hala çok canlı. Eleştirileri ve ortaya çıkan sorunları ele alırsa, hala çok güçlü bir protokol olarak bir yer bulabilir. Bununla birlikte, yazı yazıldığı sırada 1.0 sürümü hala OAuth'un resmi, kararlı ve test edilmiş hali olarak kabul edilir. Bununla birlikte, çevrimiçi dünyada büyük isimlerle çalışmayı amaçlayan geliştiriciler için, bu protokolün güvenli bir şekilde uygulanması çok uzak olmayan bir gelecekte önemli bir beceri haline gelebilir.