
OAuth 2.0 - 概述
什么是 OAuth 2.0?
OAuth 是一种开放授权协议,它允许客户端应用程序访问资源所有者的资源,这些应用程序运行在诸如 Facebook、GitHub 等 HTTP 服务上。它允许在不使用用户凭据的情况下,将存储在一个站点上的资源共享到另一个站点。它使用用户名和密码令牌代替。
OAuth 2.0 由 *IETF OAuth 工作组* 开发,于 2012 年 10 月发布。
为什么使用 OAuth 2.0?
您可以使用 OAuth 2.0 从另一个应用程序读取用户的 数据。
它为 Web、桌面应用程序和移动设备提供授权工作流程。
它是一个服务器端 Web 应用程序,使用授权码,并且不与用户凭据交互。
OAuth 2.0 的特性
OAuth 2.0 是一种简单的协议,允许访问用户的资源而无需共享密码。
它提供用户代理流程,用于使用脚本语言(例如 JavaScript)运行客户端应用程序。通常,浏览器就是一个用户代理。
它使用令牌而不是凭据来访问数据,并将数据存储在用户的在线文件系统中,例如 Google Docs 或 Dropbox 帐户。
OAuth 2.0 的优势
OAuth 2.0 是一种非常灵活的协议,它依赖于 SSL(安全套接字层,确保 Web 服务器和浏览器之间的数据保持私密)来保存用户访问令牌。
OAuth 2.0 依赖于 SSL,SSL 用于确保加密行业协议,并用于保护数据安全。
它允许有限地访问用户的数据,并在授权令牌过期时允许访问。
它能够在无需公开个人信息的情况下共享用户数据。
它更易于实现,并提供更强大的身份验证。
OAuth 2.0 的劣势
如果您在规范的末尾添加更多扩展,它将产生大量不互操作的实现,这意味着您必须为 Facebook、Google 等编写单独的代码。
如果您的常用站点连接到中央枢纽,并且中央帐户被黑客入侵,那么这将导致多个站点而不是单个站点受到严重影响。
广告