Alternativen zu OAuth?

20

Die Webbranche verlagert sich auf die Verwendung von OAuth, wenn API-Services auf externe Konsumenten und Entwickler ausgedehnt werden. Das Einfache steckt in Eleganz ... und der dreistufige OAuth-Prozess ist nicht schlecht ... ich finde nur, dass er das Beste aus einer ganzen Reihe von Optionen ist.

Gibt es Alternativen, die besser und sicherer sein könnten?

Die Sicherheitsreferenz wird von den folgenden URLs abgeleitet:

Ich bin auf dieses Problem beim Austausch von IT-Sicherheitsstapeln gestoßen und habe es unter Sicherheitsaspekten als ergreifend empfunden:

Vielleicht ist SAML 2.0 eine Alternative?

Was ist mit OpenID ?

Der Zweck dieser Frage ist aus programmtechnischer Sicht.

Ist OAuth die beste Option, die es heute gibt ...?

Gibt es alternative Optionen, die es mir ermöglichen, meine Webanwendung auf Benutzer auszudehnen, die in Bezug auf Sicherheit, Implementierung und Langlebigkeit besser sind (Überarbeitung in wenigen Monaten nicht erforderlich), und die Unterstützung mobiler Anwendungen zu ermöglichen, die mein Web verbrauchen Anwendung.

sdolgy
quelle
2
Besser auf welche Weise? Was halten Sie von OAuth für falsch?
Dean Harding
"Die Web2.0-Branche verlagert sich in Richtung OAuth" Das ist eine kühne Aussage. Obwohl SE eines der wenigen Beispiele ist, die OAuth verwenden, glaube ich nicht, dass dies bei den meisten Websites der Fall ist.
Tamás Szelei
facebook, twitter, weibo, yahoo, google, foursquare ... sie alle bieten es für den verbrauch ihrer api / services an ... nein?
Sonntag,
1
Die wichtige Frage ist, wie viele Websites sie nutzen.
Tamás Szelei

Antworten:

11

Erstens ist OAuth kein Login-Ersatz . Das ist eine Aufgabe, die von OpenID und ähnlichem gelöst wird.

OAuth ist ein temporäres Datenübertragungsautorisierungsprotokoll. Für die Art von Aufgabe, bei der Sie Ihre Daten von WebsiteA nach WebsiteB importieren möchten, verwenden Sie OAuth. Sie würden sich jedoch weiterhin mit OpenID bei websiteA anmelden. Google hat jedoch kürzlich ein Protokoll angekündigt, das beide kombiniert. Ich denke, der Unterschied zwischen ihnen ist schlammiger als zuvor.

Eine Alternative zu OAuth wäre Facebook Connect . Ich bin mir nicht sicher, ob ich Alternativen dazu kenne (möglicherweise sind einige der RPC-Sicherheitssysteme für das Web geeignet).

gbjbaanb
quelle
Vielen Dank für die Erklärung des Unterschieds. Ich habe eine völlig falsche Annahme!
Matt Ellen
Werden Konzepte von OAuth nicht zur Authentifizierung von Smartphones bei Websites verwendet? wie eine twitter oder foursquare app für android ...?
Sonntag,
1
@sdolgy: Ja, dies ist eine Möglichkeit, eine Drittanbieter-App mit Ihrem Dienst zu authentifizieren, ohne dass Sie Ihr Passwort für diese App offenlegen müssen.
Dean Harding
Erwähnenswert ist, dass dies nicht alle Arten von OAuth abdeckt, z. B. Client-Anmeldeinformationen.
Robert Grant