Alternatives à OAuth?


20

L'industrie Web évolue / s'est orientée vers l'utilisation d'OAuth lors de l'extension des services d'API aux consommateurs et développeurs externes. Il y a de l'élégance dans le simple .... et bien, le processus OAuth en 3 étapes n'est pas trop mal ... je trouve que c'est le meilleur d'un mauvais groupe d'options.

Existe-t-il des alternatives qui pourraient être meilleures et plus sûres?

La référence de sécurité est dérivée des URL suivantes:

Je suis tombé sur cela sur l' échange de pile de sécurité informatique et j'ai pensé que c'était émouvant d'un point de vue de la sécurité:

Peut-être que SAML 2.0 est une alternative?

Et OpenID ?

Le but de cette question est du point de vue de la programmation.

OAuth est-elle la meilleure option qui existe aujourd'hui ...?

Existe-t-il des options alternatives qui me permettent d'étendre mon application Web à des consommateurs qui sont meilleurs du point de vue de la sécurité, du point de vue de la mise en œuvre, de la longévité (ne nécessiteront pas de retouches dans quelques mois) et permettant le support des applications mobiles consommant mon web application.


2
Mieux de quelle manière? Que voyez-vous comme mal avec OAuth?
Dean Harding


"L'industrie Web2.0 évolue / s'est orientée vers l'utilisation d'OAuth" C'est une affirmation audacieuse. Bien que SE soit l'un des rares exemples à utiliser OAuth, je ne pense pas que la majorité des sites le fassent.
Tamás Szelei

facebook, twitter, weibo, yahoo, google, foursquare ... ils le fournissent tous pour consommer leur api / services..non?
sdolgy

1
La question importante est de savoir combien de sites les utilisent?
Tamás Szelei

Réponses:


11

Premièrement, OAuth n'est pas un remplacement de connexion . C'est une tâche résolue par OpenID et similaire.

OAuth est un protocole d'autorisation de transfert de données temporaire. Pour le type de tâche où vous souhaitez importer vos données de websiteA vers websiteB, vous utiliseriez OAuth. Mais vous devez toujours vous connecter au site WebA en utilisant OpenID. Cependant, Google a récemment annoncé un protocole qui combinait les deux, donc je suppose que la différence entre eux est plus boueuse qu'auparavant.

Une alternative à OAuth serait Facebook Connect . Je ne suis pas sûr de connaître des alternatives à cela (peut-être que certains des systèmes de sécurité RPC pourraient convenir au Web)


Merci d'avoir expliqué la distinction. Je tenais une hypothèse complètement fausse!
Matt Ellen

les concepts d'OAuth ne sont-ils pas utilisés pour authentifier les téléphones intelligents auprès des sites Web? comme une application twitter ou foursquare pour android ...?
sdolgy

1
@sdolgy: oui, c'est un moyen d'authentifier une application tierce avec votre service sans avoir à révéler votre mot de passe à cette application.
Dean Harding

Il convient de mentionner que cela ne couvre pas tous les types d'OAuth, par exemple les informations d'identification du client.
Robert Grant
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.