OAuth

Материал из Викиреальностя
Перейти к: навигация, поиск
        Не следует путать с OATHAuth.
Логотип

OAuth — открытый протокол авторизации, который позволяет предоставить третьей стороне ограниченный доступ к защищенным ресурсам пользователя без необходимости передавать ей (третьей стороне) логин и пароль, а также одноименное расширение MediaWiki, поддерживающее этот протокол.

Содержание

[править] OAuth 2.0

OAuth 2.0 — следующее поколения протокола OAuth, не имеющее обратной совместимости с OAuth 1.0. OAuth 2.0 сосредоточен на простоте клиентской разработки, обеспечивая специфические механизмы авторизации для веб-приложений, настольных приложений, мобильных телефонов и бытовой техники. Спецификация и RFC, разработанные IETF OAuth WG, были опубликованы в октябре 2012 году. Первоначально планировалось закончить это двумя годами ранее.[1]

Facebook Graph API поддерживает только OAuth 2.0.[2] Google поддерживает OAuth 2.0 как рекомендуемый механизм идентификации для всех API.[3] Экспериментальная поддержка с 2011 года включена и в API Microsoft.[4]

Поскольку OAuth 2.0 является скорее фреймворком, чем протоколом, то одна реализация будет менее совместимой с другой.[5]

[править] Безопасность

OAuth 2.0 не поддерживает шифрование, закрепление канала или проверку клиента. Протокол полностью полагается на TLS для определенной степени идентификации сервера и конфиденциальности.[6][7]

Возможно, самый разрушительный провал в безопасности OAuth — уязвимость фишинга:[8] каждый веб-сайт, использующий OAuth, визуально (но не технически) запрашивает у пользователей их логины и пароли, что мешает простым пользователям понять, что они находятся на поддельном сайте. Двухфакторная аутентификация также не предотвращает эту атаку.

[править] Отличия от OpenID

OAuth часто называют «протоколом для роботов», в отличие от OpenID — «протокола для пользователей». Поэтому есть отличия:[9]

  • OpenID — протокол для ускоренной регистрации. OpenID позволяет пользователю без ввода пароля получить аккаунт на каком-либо сервисе, если он уже зарегистрирован где-то еще в интернете. (И потом можно без ввода пароля входить на сервис, будучи авторизованным «где-то»). Например, если у вас есть аккаунт на Яндексе, вы сможете «входить» с его помощью на любой сервис, поддерживающий OpenID-авторизацию.
  • OAuth — протокол для авторизованного доступа к стороннему API. OAuth позволяет скрипту Consumer-а получить ограниченный API-доступ к данным стороннего Service Provider-а, если User дает добро. То есть это средство для доступа к API.

[править] Расширение MediaWiki

Существует одноименное расширение MediaWiki[10], дающее возможность использования протокола OAuth версии 1.0a и OAuth 2.0, установленное в проектах Фонда Викимедиа.

[править] Примечания

  1. «Introducing OAuth 2.0»
  2. «Authentication — Facebook Developers»
  3. «Google Accounts Authentication and Authorization»
  4. «Announcing Support for OAuth 2.0»
  5. «Interoperability»
  6. «Is OAuth 2.0 Bad for the Web?»
  7. «an unwarranted bashing of Twitter’s oAuth»
  8. «Serious security flaw in OAuth, OpenID discovered»
  9. Описание протокола простым и понятным языком
  10. Страница расширения

[править] Ссылки

OAuth относится к теме «Интернет»   ±
Интернет — Всемирная Паутина
[править]
ПонятияWorld Wide WebВеб (011.523) • Бан (перманентный) • БаннерБраузерВеб-сёрфингВидео (блогер) • ИзображенияИнтернет-деньгиИнтернет-рекламаКраудсорсингПоисковая системаПользовательХостингЭлектронная почтаAs We May ThinkDNSHTTPFTPCookiesCMSURLРунет (история) • Веб-камераГеолокацияГеотаргетингЗагрузкаОверквотингОффтопикIRCКопипастаМежсистемностьОнлайнОтключениеОффлайнСерверСкачиваниеСубкультураБизнесТорговляКонкуренцияИнтернет-провайдер
МестаBooruАрхивБлогВеб-порталВеб-службаВеб-форумВидеохостингВикиДомен (Поддомен) • ИмиджбордМагазинНовости • (СМИ) • ОблакоОтвечальникПерсональный сайтРувапАгрегатор (товаровтакси) • СервисСервис-провайдерСокращение ссылокСоцсетьТоррентФорумФотохостингФайлообменникШокирующий сайтЭнциклопедия-луркмор
СегментыБлогосфераВикисредаДеревенскийОнлайн-игрыПриватныйПубличныйРувап
Известные сайты и сервисыAlexaБашоргБобрдобрDeliciousDemotivation.meDirty.ruFacebookFoursquareFriendFeed † • GoogleInstagramLast.fmRapidShareRedditTwitterWebmoneyВикипедияВКонтактеЖивой ЖурналЛепрозорийЛуркоморьеОдноклассникиХабрахабрЯндексImageShackMister WongSci-HubSmi2.ruTikTokTJФотохостинг Япикс
Известные людиАртемий ЛебедевБилл ГейтсБрэд ФитцпатрикВэннивар БушДжимбо УэйлсДжулиан АссанжИгорь АшмановСергей БринСтив ДжобсМарк ЦукербергМиша ВербицкийЛарри ПейджПавел ДуровЭдвард Сноуден10 самых важных людей в сети33 перспективных россиянина
ПредставителиАдминистраторАнонимЗарегистрированный участник (БлогерВикипедист) • ГеймерЛамерМодератор (премодерация) • МоралфагОсновательСтримерФолловерФрилансер
ОсновыАвторизацияАккаунт (платный, спящий) • ВиральностьИнвайтЛулзыПрофильЛичное сообщениеПруфлинкРейтингРепрезентативностьРепутацияЗванияНикЦензура •‎ Регулирование •‎ Переписка •‎ Правила сайта •‎ ПредупреждениеСмайлик (каомодзи) • Блокировка участника (частичная) • Деструктивные действияИнтернет-зависимостьИнформационный суверенитетМемСемантическая паутинаСленгТроллингУдалениеИнтернет-сообществоПросмотры
Праздники и датыНовый ГодДень защитника ОтечестваЖенский деньДень смехаДень интернетаДень рождения РунетаПасхаДень ПобедыДень знанийХэллоуинДень народного единстваРождествоКаникулы
ПрочееВеликая СетьВиртуальная этнография (этничность) • Всемирный запуск IPv6Деревенский ИнтернетДомашний ИнтернетЗакон ГодвинаИнтернет-археологияИнтернет-историкИнтернет в космосеИнтернетологияИстория российского ИнтернетаНашествиеНостальгия по прошломуПравила интернетовПроекты об истории РунетаПукисыРАИGalactica
Связанное@ГолосованиеЁЖалобаИнтеллектуалКраудфандингМатПриветствиеРакРейтингСекс (виртуальный) • ТравляФайлФлудЦитатыiPhoneiPadXiaomi (Xiaomi 13Xiaomi 13 Pro)
ИсследованияВосприятие творчества в цифровую эпохуЗадержка потребления контентаGalactica
Источник — «http://wikireality.ru/w/index.php?title=OAuth&oldid=612454»