OAuth的替代品?

20

在将API服务扩展到外部使用者和开发人员时,Web行业正在/已经转向使用OAuth。简单有一些优雅之处。...而且,三步OAuth流程还不错...我只是发现它是一堆糟糕的选择中最好的。

是否有其他更好,更安全的替代方案?

安全参考来自以下URL:

我在IT安全性堆栈交换中遇到了这一点,并认为从安全性的角度来看这是很痛苦的:

也许SAML 2.0是替代方案?

OpenID呢?

这个问题的目的是从编程的角度来看。

OAuth是当今存在的最佳选择吗?

是否存在替代选项,这些选项使我可以将Web应用程序扩展到从安全角度,实现角度,寿命(不需要几个月的返工)以及更好的支持消费者的Web应用程序,并支持消耗我的Web的移动应用程序应用。

web-applications  websites  rest 
闷热
source
2
哪种方式更好?您认为OAuth有什么问题?
迪恩·哈丁,
sdolgy
“ Web2.0行业正在/已经转向使用OAuth”。这是一个大胆的声明。尽管SE是使用OAuth的少数几个示例之一,但我不认为大多数站点都使用OAuth。
陶Szelei
facebook,twitter,微博,雅虎,谷歌,foursquare ...它们都提供了用于消费其api / services..no?
sdolgy 2011年
1
重要的问题是有多少网站在使用它们?
陶Szelei

Answers:

11

首先,OAuth不是登录替代。这是由OpenID等解决的任务。

OAuth是临时的数据传输授权协议。对于要将数据从网站A导入到网站B的任务,可以使用OAuth。但是您仍将使用OpenID登录到websiteA。但是,Google最近宣布了将两者结合在一起的协议,因此我想它们之间的区别比以前更加混乱。

OAuth的替代方法是Facebook Connect。我不确定是否有其他替代方法(也许某些RPC安全系统可能适用于Web)

gbjbaanb
source
感谢您解释区别。我的假设完全错误!
Matt Ellen
OAuth的概念是否不用于对网站的智能手机进行身份验证?像适用于Android的Twitter或foursquare应用...?
sdolgy 2011年
1
@sdolgy:是的,这是一种通过您的服务对第三方应用程序进行身份验证的方法,而无需向该应用程序透露密码。
迪恩·哈丁
值得一提的是,这并不涵盖所有类型的OAuth,例如客户端凭据。
罗伯特·格兰特
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.