OAuth2的一些改变
来源:互联网 发布:亚马逊和淘宝哪个好 编辑:程序博客网 时间:2024/05/16 13:58
以前最烦的就是xx和我说你咋不支持OAuth啊?那是标准啊,多通用啊?同学,标准是啥?中国还有个馒头标准,直径大于多少还不算是馒头呢!其实早在我做开放平台时,OAuth的确实有了,但是当时也就是个草案,不过也是一群大牛公司的人在那儿捣鼓,但是当时没有一个真正的开放平台大牛公司的人在做这个(我认为雅虎系是当时最早一批做开放平台的)。
前几天在微博上发了三张OAuth2的手写草稿(具体可以看看t.sina.com/fangweng),其实也是为了今天在内部产品和研发小范围分享OAuth2的优势,同时也对将来淘宝开放平台授权从单应用授权到将来多平台互通做准备。OAuth1我现在依旧保持自己的看法,没觉得有什么优势在!但是,今天来看OAuth2的这些人(都是实实在在的做开放平台的人)制定的标准,可以发现它的设计缘由和优势,这里不谈OAuth2的流程,就说说几个小变化,这几个小变化直接决定了整个流程的差异化。
在OAuth2流程中有2个载体,3个过程,4个角色:
两个载体:
Authorization Code, Access Token(refresh token)
三个过程:
用户认证,应用认证,用户授权
四个角色:
用户,应用,授权服务器,资源服务器
第一个改变发生在角色的拆分:将授权服务器和资源服务器拆分开来。将授权与资源访问的宿主由一一对应变成了一对多的方式,只要资源访问能够验证授权,那么任何授权服务点都可以成为该类资源的授权中心。其实也是为多种平台间互联互通技术的提供更灵活的支持,另一方面针对不同终端的授权也可以定制化流程,只要最终授权流程得到的结果可以被资源提供者所认可就行。
第二个改变发生在获取Access Token的过程,简化了一次交换Token的流程。我至今还不是很清楚折腾反复那么多次交换的用处。
第三个,对于Agent和Client的模式有了更明确的流程支持。C/S模式和纯JS模式都是没有一个可以推送授权结果服务端的问题,现在流程中利用在URL参数中增加#在带上业务参数不会被302从定向提交给服务端来解决安全性和数据获取的问题。
第四个,提高开发者的授权开发门槛,降低开发服务请求门槛。可以想象的到授权本身的调用量和使用比例要远小于服务调用量。原先对于三个过程中的应用认证主要发生在服务调用中,每次调用都要对参数作签名(由于参数的复杂性及调用次数很多,入口很多,导致开发查错难),而现在应用认证和用户授权都发生在授权流程中,完全剥离了资源访问者对应用认证的处理,增加了授权开发成本,却降低了服务调用成本。(其实这种设计大量被用在前后端设计优化中)
另一些小细节也显示出了这是开放平台人做的标准:CSRF攻击的预防(增加了State字段),允许应用身份登陆(操作一些应用相关的平台型服务),scope来扩展业务访问控制范围,expires time表示Token的有效期(原来都是无限长时间的)
同时电子商务网站与SNS网站还是在安全性上有些差异,同时服务的控制方面也有不同,因此在资源提供者这段也会有一些附加的控制策略在,通过OAuth2的一些扩展点来更加细化控制。总的一句话:如果只知道Follow规范而不知道规范为什麽这么设计,那么还是不要鼓吹什么标准。不然就和馒头标准一样,说出来也就是个笑话。
- OAuth2的一些改变
- Spring security oauth2最简单入门环境搭建--二、干货 博客分类: OAuth2 spring security oauth入门配置oauth2教程 关于OAuth2的一些简介
- Hibernate4的一些改变
- centos7的一些改变
- Oauth2做web端SSO的一些临时想法
- RHEL7.0的一些改变
- 关于Xcode7的一些改变
- arx升级的一些改变
- php7做的一些改变
- OAuth2的流程梳理
- Oauth2.的简介
- OAuth2.0 的使用
- OAuth2的介绍
- OAuth2.0 的理解
- 用新浪微博java SDK进行OAuth2验证遇到的一些问题
- 键盘的一些状态的改变
- oauth2
- OAuth2
- 深入Android
- What is the difference between a von Neumann architecture and a Harvard architecture?
- [VB.NET]控件切换父容器而不改变位置(视觉上)
- 如何避免出现死锁
- CUnit 安装
- OAuth2的一些改变
- jmeter使用分析
- Linux用户进程内存分配及二级页表PTE的二三事
- Spring中Bean的初始化过程
- 安全一
- sscanf 与scanf
- 批量执行SQL文件
- NoSQL数据库探讨之一 - 为什么要用非关系数据库?
- 基于netvibes源码实现类似igoogle的个性化主页