Веб-индустрия смещается / смещается в сторону использования OAuth при расширении API-сервисов для внешних потребителей и разработчиков. В простом есть некоторая элегантность ... и хорошо, трехэтапный процесс OAuth не так уж и плох ... я просто считаю, что это лучший из плохих вариантов.
Есть ли альтернативы, которые могли бы быть лучше и безопаснее?
Ссылка на безопасность основана на следующих URL-адресах:
Я натолкнулся на это во время обмена стеками IT Security и подумал, что это очень важно с точки зрения безопасности:
Может быть, SAML 2.0 является альтернативой?
Что насчет OpenID ?
Цель этого вопроса - с точки зрения программирования.
Является ли OAuth лучшим вариантом, который существует сегодня ...?
Существуют ли альтернативные варианты, которые позволяют мне расширять мое веб-приложение для потребителей, которые лучше с точки зрения безопасности, с точки зрения реализации, долговечности (не требуют доработки через несколько месяцев) и включения поддержки мобильных приложений, потребляющих мой веб заявление.
источник
Ответы:
Во-первых, OAuth не является заменой входа в систему . Это задача, решаемая OpenID и тому подобное.
OAuth - это временный протокол авторизации передачи данных. Для задачи, в которой вы хотите импортировать данные с веб-сайта A на веб-сайт B, вы должны использовать OAuth. Но вы все равно авторизуетесь на сайте A, используя OpenID. Тем не менее, Google недавно объявил о протоколе, который объединил эти два, поэтому я думаю, что разница между ними более грязная, чем раньше.
Альтернативой OAuth будет Facebook Connect . Я не уверен, что знаю какие-либо альтернативы этому (возможно, некоторые из систем безопасности RPC могли бы подойти для Интернета)
источник