Huis Veiligheid Oauth 2.0 101

Oauth 2.0 101

Inhoudsopgave:

Anonim

Veel luxe auto's worden geleverd met een valet-sleutel. Het is een speciale sleutel die u de parkeerwachter geeft en in tegenstelling tot uw gewone sleutel, zal de auto alleen over een korte afstand kunnen rijden terwijl de toegang tot de kofferbak en de mobiele telefoon aan boord wordt geblokkeerd. Ongeacht de beperkingen die de valet-sleutel oplegt, is het idee erg slim. Je geeft iemand beperkte toegang tot je auto met een speciale sleutel, terwijl je een andere sleutel gebruikt om al het andere te ontgrendelen. - De officiële gids voor OAuth 1.0


Dat is hoe de community-gebaseerde specificatierichtlijnen OAuth al in 2007 verklaarden. En hoewel OAuth 2.0 een volledig nieuw protocol is, is dezelfde beschrijving nog steeds van toepassing - OAuth blijft een manier voor gebruikers om derden toegang (en beperkte toegang) te verlenen aan hun middelen zonder hun wachtwoorden te delen.


Als u regelmatig op internet bent, is de kans groot dat u een site bent tegengekomen die OAuth gebruikt. 'S Werelds grootste websites, zoals Facebook, Google, MySpace, Twitter, Photobcuket, Yahoo, Evernote en Vimeo, gebruiken immers deze authenticatiestandaard. Lees verder voor meer informatie over deze standaard en waarom de volgende generatie, OAuth 2.0, nog steeds op een relatief experimentele basis wordt gebruikt.

Wat is OAuth 2.0?

Eerst moet u weten wat OAuth als protocol doet: het maakt applicatie-programmeerinterface-autorisatie mogelijk tussen twee web- of desktop-apps. Hierdoor kunnen websites beschermde bronnen delen met andere websites en diensten.


Als u bijvoorbeeld Scramble met vrienden op uw iPad speelt, kunt u uw Facebook-inloggegevens invoeren, zodat de game door uw vriendenlijst kan kijken om te zien wie van hen de game speelt - en anderen uitnodigen om mee te doen. Of u kunt contact leggen met vrienden op Google+ op basis van wie u volgt op Twitter. Dit soort toepassingen zijn handig voor gebruikers, maar ze houden in dat u een site of programma toegang geeft tot informatie over u op een andere site.


OAuth 2.0 werkt net als de eerste incarnatie van OAuth, maar het is een geheel nieuwe standaard. Dit betekent dat het niet achterwaarts compatibel is met OAuth 1.0. Versie 2.0 heeft veel van de problemen met de originele OAuth opgelost en verbeteringen aangebracht.


Terwijl in principe de architectuur van de eerste versie werd behouden, verbeterde 2.0 op:

  • Verificatie en handtekeningen. OAuth 2.0 maakte het eenvoudiger voor iemand aan de client om het protocol te implementeren.
  • Gebruikerservaring en alternatieve manieren om tokens uit te geven
  • Prestaties, vooral bij grotere websites en services
Een meer uitgebreide uitleg over wat nieuw is in OAuth 2.0 wordt gegeven door Eran Hammer, die vroeger deel uitmaakte van de OAuth-werkgroep. U kunt hier toegang krijgen. Merk echter op dat Hammer de werkgroep in juli 2012 heeft verlaten en problemen met beveiligingsproblemen aan de orde heeft gesteld bij de implementatie van de norm. Hoewel OAuth eind 2010 zou moeten zijn afgerond, blijft het een voorgestelde standaard (op het moment van schrijven), hoewel het onderdeel is van de Graph API van Facebook. Google en Microsoft experimenteren ook met OAuth 2.0-ondersteuning in hun API's.

De voordelen van het gebruik van OAuth 2.0

Een van de beste redenen om OAuth te gebruiken, is dat het delen zoveel gemakkelijker wordt. We zijn al gewend om foto's te uploaden naar Instagram en ze automatisch te laten posten op Twitter en Facebook. Het is eigenlijk dit soort gebruiksgemak en crossover dat sociale media zo aantrekkelijk blijft maken.


Maar dat is niet alles. Voor eindgebruikers betekent OAuth dat u geen ander profiel hoeft aan te maken. Als u bijvoorbeeld een opmerking bij een artikel wilt achterlaten, kunt u hiervoor uw Facebook- of Twitter-inloggegevens gebruiken, in plaats van dat u zich moet aanmelden voor een account op een bepaalde website. Dit is geweldig voor sites waarop u meestal niet actief bent of die u misschien niet vertrouwt. Het kan de sites ook ten goede komen door ervoor te zorgen dat gebruikers een identiteit op Facebook hebben, waardoor reactiespam minder waarschijnlijk wordt.


OAuth betekent ook minder wachtwoorden om te onthouden. Het is een goede gewoonte om verschillende wachtwoorden te hebben voor verschillende websiteservices. Dus in plaats van een ander wachtwoord te onthouden, hoeft u alleen uw Facebook-wachtwoord te gebruiken om toegang te krijgen tot de service. Trouwens, uw wachtwoord wordt niet weergegeven.


U kunt ook beperken tot welke bronnen toegang wordt verkregen via uw OAuth. Wanneer u bijvoorbeeld een game op Facebook speelt, kunt u opgeven of u de game namens u op uw wall wilt plaatsen.


Voor de ontwikkelaar biedt OAuth 2.0 een reeds ontwikkelde code voor authenticaties, sociale interactieweergave en weergave van gebruikersprofielen. Dit betekent minder bugs voor ontwikkelaars om mee te kampen en een lager risico omdat de API al is opgelost, getest en bewezen. Ten slotte profiteert u ook van minder gegevens die op uw eigen servers moeten worden opgeslagen.

Hoe OAuth 2.0 is ontstaan

Het is vrij duidelijk dat OAuth een reactie is op de oproep voor veilig computergebruik en gebruiksgemak voor verschillende webservices. OAuth 2.0 is daarentegen ontstaan ​​uit de noodzaak om OAuth minder complex te maken. Maar het hele idee voor beide kwam eigenlijk van OpenID.


OpenID is een service waarmee gebruikers zich bij verschillende services kunnen aanmelden door inloggegevens van een andere website te gebruiken. Maar OpenID was zeer beperkt, dus een groep mensen die aan verschillende autorisatieprotocollen voor hun eigen sites werkten, kwamen bij elkaar. De eerste OAuth-implementaties werden in 2007 uitgevoerd en de eerste herziening kwam twee jaar later.


OAuth 2.0 kwam in 2010 op de markt. Het was de bedoeling om zich te concentreren op de eenvoud van de klant en gemakkelijker schaalbaar te zijn en tegelijkertijd de gebruikerservaring te verbeteren.

Uitdagingen die komen?

Hoewel Google, Klout en andere grote namen OAuth 2.0 implementeren, is er mogelijk nog een rotsachtige weg voor dit protocol. Er zijn kritiek vanuit de OAuth 2.0-gemeenschap, waaronder bezorgdheid over de beveiliging van het protocol (velen denken dat het minder veilig is dan OAuth 1.0).


Volgens Hammer werkt OAuth 2.0, indien gebruikt door een competente programmeur die goed thuis is in webbeveiliging. Helaas past slechts een kleine minderheid van ontwikkelaars die rekening.


Bovendien zijn OAuth 2.0-codes niet herbruikbaar. OAuth 2.0-protocollen die door Facebook worden gebruikt, kunnen bijvoorbeeld niet gemakkelijk worden gebruikt door andere sites. Bovendien is het nieuwe protocol eigenlijk veel complexer dan het origineel.


Maar de echte kicker voor veel mensen is dat OAuth 2.0 geen echt voordeel of verbetering lijkt te bieden ten opzichte van 1.0. Hammer schrijft dat als je 1.0 met succes implementeert, er geen reden is om te upgraden naar 2.0.


OAuth 2.0 is echter nog steeds springlevend. Als het de kritieken en kwesties behandelt die worden opgeworpen, kan het nog steeds een plaats vinden als een zeer krachtig protocol. Op het moment van schrijven wordt versie 1.0 echter nog steeds beschouwd als de officiële, stabiele en geteste versie van OAuth. Desalniettemin kan voor ontwikkelaars die met grote namen in de online wereld willen werken, dit protocol veilig implementeren een belangrijke vaardigheid worden in de niet al te verre toekomst.

Oauth 2.0 101