Satura rādītājs:
Daudzām luksusa automašīnām ir sulainis. Tā ir īpaša atslēga, kuru jūs piešķirat stāvvietas pavadoņam, un atšķirībā no parastās atslēgas tā ļaus nobraukt ar automašīnu tikai nelielu attālumu, vienlaikus bloķējot piekļuvi bagāžniekam un mobilajam tālrunim. Neatkarīgi no sulainis atslēgas noteiktajiem ierobežojumiem šī ideja ir ļoti gudra. Jūs kādam piešķirat ierobežotu piekļuvi jūsu automašīnai ar īpašu atslēgu, vienlaikus izmantojot citu atslēgu, lai atbloķētu visu pārējo. - Oficiālā rokasgrāmata OAuth 1.0
Tas ir tas, kā sabiedrībā balstītās specifikāciju vadlīnijas izskaidroja OAuth tālajā 2007. gadā. Un, lai gan OAuth 2.0 ir pilnīgi jauns protokols, joprojām piemēro to pašu aprakstu - OAuth joprojām ir veids, kā lietotāji lietotājiem piešķir trešo personu piekļuvi (un ierobežotu piekļuvi) viņu resursus, nedaloties ar parolēm.
Ja regulāri izmantojat internetu, iespējams, esat saskāries ar vietni, kas izmanto OAuth. Galu galā pasaules lielākās vietnes, piemēram, Facebook, Google, MySpace, Twitter, Photobcuket, Yahoo, Evernote un Vimeo, izmanto šo autentifikācijas standartu. Lasiet tālāk, lai uzzinātu vairāk par šo standartu un to, kāpēc nākamās paaudzes OAuth 2.0 joprojām tiek izmantots salīdzinoši eksperimentāli.
Kas ir OAuth 2.0?
Pirmkārt, jums jāzina, ko dara OAuth kā protokols: Tas ļauj lietotņu programmēšanas interfeisa autorizāciju starp divām tīmekļa vai darbvirsmas lietotnēm. Tā rezultātā vietnes var koplietot aizsargātos resursus ar citām vietnēm un pakalpojumiem.
Piemēram, ja jūs spēlējat Scramble ar draugiem savā iPad, jūs varētu ievadīt savus Facebook akreditācijas datus, ļaujot spēlei izskatīt draugu sarakstu, lai redzētu, kuri no viņiem spēlē spēli, un uzaicināt citus pievienoties. Vai arī jūs varat sazināties ar draugiem pakalpojumā Google+, pamatojoties uz to, kurš seko jums Twitter. Šāda veida lietojumprogrammas ir ērtas lietotājiem, taču tās paredz piekļuves piešķiršanu vienai vietnei vai programmai citai vietnei paredzētai informācijai par jums.
OAuth 2.0 darbojas līdzīgi kā pirmais OAuth iemiesojums, taču tas ir pilnīgi jauns standarts. Tas nozīmē, ka tā nav savietojama ar OAuth 1.0. Versija 2.0 iztīrīja daudzas problēmas ar sākotnējo OAuth un veica uzlabojumus.
Pamatā saglabājot pirmās versijas arhitektūru, 2.0 tika uzlabota uz:
- Autentifikācija un paraksti. OAuth 2.0 kādam klienta pusē protokola ieviešanu padarīja vieglāku.
- Lietotāju pieredze un alternatīvi žetonu izsniegšanas veidi
- Veiktspēja, īpaši ar lielākām vietnēm un pakalpojumiem
OAuth 2.0 lietošanas priekšrocības
Viens no labākajiem OAuth izmantošanas iemesliem ir tas, ka tas atvieglo kopīgošanu. Mēs jau esam pieraduši augšupielādēt fotoattēlus Instagram un likt tiem automātiski izlikt ziņas Twitter un Facebook. Faktiski tieši šāda veida lietošanas vienkāršība un pārnešana turpina padarīt sociālos medijus tik pievilcīgus.
Bet tas vēl nav viss. Galalietotājiem OAuth nozīmē, ka jums nav jāizveido cits profils. Piemēram, ja vēlaties komentēt rakstu, varat izmantot savus Facebook vai Twitter akreditācijas datus, tā vietā, lai reģistrētos kontā attiecīgajā vietnē. Tas ir lieliski piemērots vietnēm, kurās parasti neatrodaties vai kurās, iespējams, neuzticaties. Tas var arī dot labumu vietnēm, nodrošinot lietotājiem identitāti Facebook, padarot komentāru surogātpastu mazāku.
OAuth nozīmē arī mazāk paroles, ko atcerēties. Labākā prakse ir atšķirīgas paroles dažādiem vietnes pakalpojumiem. Tātad, tā vietā, lai iegaumētu citu paroli, jums tikai jāizmanto sava Facebook parole, lai piekļūtu pakalpojumam., starp citu, neredzēs jūsu paroli.
Varat arī ierobežot resursus, kuriem piekļūst, izmantojot jūsu OAuth. Piemēram, spēlējot spēli Facebook, jūs varat norādīt, vai vēlaties, lai spēle tiktu izlikta uz sienas jūsu vārdā vai nē.
Izstrādātājam OAuth 2.0 nodrošina jau izstrādātu kodu autentifikācijai, sociālās mijiedarbības displejam un lietotāja profila parādīšanai. Tas nozīmē mazāk kļūdu izstrādātājiem, ar kurām jācīnās, un mazāks risks, jo API jau ir atkļūdota, pārbaudīta un pārbaudīta. Visbeidzot, jūs gūstat labumu arī no tā, ka jūsu serveros ir mazāk datu.
Kā radās OAuth 2.0
Ir diezgan acīmredzami, ka OAuth ir atbilde uz aicinājumu nodrošināt drošu skaitļošanu un dažādu Web pakalpojumu ērtu lietošanu. Turpretī OAuth 2.0 radās nepieciešamība padarīt OAuth mazāk sarežģītu. Bet visa ideja abiem faktiski nāca no OpenID.
OpenID ir pakalpojums, kas ļāva lietotājiem pieteikties dažādos pakalpojumos, izmantojot pieteikšanās akreditācijas datus no citas vietnes. Bet OpenID bija ļoti ierobežots, tāpēc pulcējās cilvēku grupa, kas strādā pie dažādiem autorizācijas protokoliem savām vietnēm. Pirmās OAuth ieviešanas tika veiktas 2007. gadā, un pirmā revīzija notika divus gadus vēlāk.
OAuth 2.0 uz skatuves ieradās 2010. gadā. Tās mērķis bija koncentrēties uz klienta-izstrādātāja vienkāršību un būt vieglāk pielāgojamam, vienlaikus uzlabojot arī lietotāju pieredzi.
Izaicinājumi priekšā?
Lai arī Google, Klout un citi lielie vārdi ievieš OAuth 2.0, tomēr, iespējams, šajā protokolā vēl ir priekšā akmeņains ceļš. OAuth 2.0 kopiena kritizē, tostarp bažas par protokola drošību (daudzi uzskata, ka tas ir mazāk drošs nekā OAuth 1.0).
Pēc Hammera teiktā, ja to izmanto kompetents programmētājs, kurš labi pārzina tīmekļa drošību, OAuth 2.0 darbojas. Diemžēl tikai neliela daļa izstrādātāju atbilst šim rēķinam.
Turklāt OAuth 2.0 kodi nav atkārtoti izmantojami. Piemēram, OAuth 2.0 protokolus, ko izmanto Facebook, cita vietne nevarētu viegli izmantot. Vēl vairāk, jaunais protokols faktiski ir daudz sarežģītāks nekā oriģināls.
Bet patiesībā daudziem cilvēkiem šķiet, ka OAuth 2.0 nepiedāvā nekādas reālas priekšrocības vai uzlabojumus virs 1.0. Hammer raksta, ka, ja jūs veiksmīgi ieviesīsit 1.0, nav iemesla jaunināt uz 2.0.
Tomēr OAuth 2.0 joprojām ir ļoti aktīvs. Ja tas pievēršas izvirzītajai kritikai un jautājumiem, tas joprojām var atrast vietu kā ļoti spēcīgs protokols. Rakstīšanas laikā versija 1.0 joprojām tiek uzskatīta par oficiālo, stabilo un pārbaudīto OAuth versiju. Neskatoties uz to, izstrādātājiem, kuru mērķis ir tiešsaistes pasaulē strādāt ar lieliem vārdiem, droša šī protokola ieviešana var kļūt par galveno prasmju kopu ne pārāk tālā nākotnē.
