Альтернативы OAuth?

20

Веб-индустрия смещается / смещается в сторону использования OAuth при расширении API-сервисов для внешних потребителей и разработчиков. В простом есть некоторая элегантность ... и хорошо, трехэтапный процесс OAuth не так уж и плох ... я просто считаю, что это лучший из плохих вариантов.

Есть ли альтернативы, которые могли бы быть лучше и безопаснее?

Ссылка на безопасность основана на следующих URL-адресах:

Я натолкнулся на это во время обмена стеками IT Security и подумал, что это очень важно с точки зрения безопасности:

Может быть, SAML 2.0 является альтернативой?

Что насчет OpenID ?

Цель этого вопроса - с точки зрения программирования.

Является ли OAuth лучшим вариантом, который существует сегодня ...?

Существуют ли альтернативные варианты, которые позволяют мне расширять мое веб-приложение для потребителей, которые лучше с точки зрения безопасности, с точки зрения реализации, долговечности (не требуют доработки через несколько месяцев) и включения поддержки мобильных приложений, потребляющих мой веб заявление.

sdolgy
источник
2
Лучше чем? Что вы видите как не так с OAuth?
Дин Хардинг
«Индустрия Web2.0 смещается / смещается в сторону использования OAuth» Это смелое утверждение. Хотя SE является одним из немногих примеров, которые используют OAuth, я не думаю, что большинство сайтов используют.
Тамас Селеи
Facebook, Twitter, Weibo, Yahoo, Google, Foursquare ... все они предоставляют его для использования их API / услуг .. нет?
sdolgy
1
Важные вопросы - сколько сайтов их используют?
Тамас Селеи

Ответы:

11

Во-первых, OAuth не является заменой входа в систему . Это задача, решаемая OpenID и тому подобное.

OAuth - это временный протокол авторизации передачи данных. Для задачи, в которой вы хотите импортировать данные с веб-сайта A на веб-сайт B, вы должны использовать OAuth. Но вы все равно авторизуетесь на сайте A, используя OpenID. Тем не менее, Google недавно объявил о протоколе, который объединил эти два, поэтому я думаю, что разница между ними более грязная, чем раньше.

Альтернативой OAuth будет Facebook Connect . Я не уверен, что знаю какие-либо альтернативы этому (возможно, некоторые из систем безопасности RPC могли бы подойти для Интернета)

gbjbaanb
источник
Спасибо за объяснение различия. Я придерживался совершенно неверного предположения!
Мэтт Эллен
концепции OAuth не используются для аутентификации смартфонов на сайтах? как твиттер или приложение для четверки на андроид ...?
sdolgy
1
@sdolgy: да, это средство аутентификации стороннего приложения с вашим сервисом без необходимости раскрывать пароль к этому приложению.
Дин Хардинг
Стоит отметить, что это не охватывает все типы OAuth, например, учетные данные клиента.
Роберт Грант