Warum ist OAuth entworfen, um Anfrage-token und access token?

In der OAuth-Protokoll, ein service consumer fragt ein Benutzer zu autorisieren Anfrage-token im service-provider-domain, dann tauscht die Anfrage-token für eine access token vom Anbieter.

Frage ich mich, warum OAuth ist entworfen, um zwei Token im Protokoll.

Warum nicht einfach ein einzelnes token in diesem Prozess? Das heißt, der Benutzer gestatten würde, die token, und der service-consumer würden abrufen von Informationen von dem Anbieter mit die token.

InformationsquelleAutor Morgan Cheng | 2010-08-27
  1. 28

    Für usability-und Sicherheitsgründen.

    Aus der Beginner ' s Guide to OAuth:

    https://hueniverse.com/beginners-guide-to-oauth-part-iii-security-architecture-e9394f5263b5

    ... Während meistens ein Artefakt, wie der OAuth-Spezifikation entwickelt, die zwei-Token-design bietet einige usability-und Sicherheits-features die es lohnt zu bleiben, die in der Spezifikation. OAuth arbeitet auf zwei Kanälen: front-Kanal, der verwendet wird, engagieren sich die Benutzer und Antrag auf Genehmigung, und ein Rückkanal vom Verbraucher benutzt, um die direkte Interaktion mit dem Service Provider. Durch die Begrenzung der Zugriffs-Token an den back-Kanal, das Token selbst bleibt vor dem Benutzer versteckt. Dies ermöglicht es, den Access-Token zu tragen eine Besondere Bedeutung und haben eine größere Größe als die des front-Kanals Anfrage-Token, die für den Benutzer verfügbar gemacht, wenn die Beantragung der Zulassung, und in einigen Fällen muss manuell eingegeben werden (mobile Geräte oder set-top-box).

    ===

    Beachten Sie, dass diese Frage ist ein dupe von

    Warum müssen wir "ändern temporäre Anmeldeinformationen für die token credentials" in OAuth?

    Wenn die Erklärung von der Beginner ' s Guide nicht klar ist, dann gehe Lesen @npdoty auf es .

    InformationsquelleAutor Bert F
  2. 1

    Vom Die Offizielle OAuth-1.0-Guide

    Das OAuth-Protokoll ermöglicht die websites oder
    Anwendungen (Verbraucher) zugreifen
    Geschützte Ressourcen von einem web-service
    (Service-Provider), über ein API, ohne
    dass die Benutzer legen Ihre
    Service-Provider Anmeldeinformationen, um die
    Verbraucher. Generell OAuth
    erstellt eine frei implementierbare und
    generische Methodik für die API
    die Authentifizierung.

    Ein Beispiel HIERFÜR ist, so dass
    Druck-service printer.example.com
    (den Verbraucher), um Zugriff auf private
    die gespeicherten Fotos auf photos.example.net
    (den Service Provider) ohne
    dass die Benutzer, um Ihre
    Fotos.example.net Anmeldeinformationen
    Drucker.example.com.

    OAuth nicht erforderlich einen bestimmten Benutzer
    interface-oder interaction-pattern, noch
    setzt er fest, wie Service Provider
    authentifizieren von Benutzern, so dass die
    Protokoll ideal geeignet für Fälle,
    wo-Authentifizierung-Anmeldeinformationen sind
    nicht verfügbar, um den Verbraucher, wie
    mit OpenID.

    OAuth zielt auf die Vereinheitlichung der Erfahrung und
    Umsetzung von Delegierten web
    service-Authentifizierung in einer einzigen,
    community-driven-Protokoll. OAuth
    baut auf der bestehenden Protokolle und besten
    Praktiken, wurden unabhängig
    umgesetzt durch verschiedene websites. Ein
    offener standard, unterstützt durch große und
    kleine Anbieter gleichermaßen, fördert eine
    einheitliche und vertraute Erlebnis für
    Anwendungs-Entwickler und die
    Benutzer dieser Anwendungen.

    Um zusammenzufassen, was sagte, dass im Grunde der Benutzer gibt einen Benutzernamen und ein Kennwort für einen OAuth-request-token. Sie geben den Dienst, der eine Verbindung herstellen möchte, um etwas über die OAuth-request-token und Sie erhalten die Zugangs-token. Dieser macht es so, dass der service nie sieht/benutzt den Benutzernamen und das Passwort.

    • Anfrage-token generiert wird, die von Service-Consumer. Benutzername und Passwort kann nicht wiederhergestellt werden, von der Anfrage-token. Also warum nicht einfach eine Anfrage-token als token für den Zugriff?
    • Das ist das, was xAuth funktioniert, aber ich kann nicht finden, den Grund.
    • xAuth erfordert, dass der Benutzer seine Zugangsdaten (Benutzername und Passwort), mit der client-app. OAuth ist so konzipiert, dass dies nicht nötig ist.
    InformationsquelleAutor Conceited Code
Schreibe einen Kommentar