OAuthの代替手段


20

Web業界は、APIサービスを外部の消費者と開発者に拡張する際にOAuthを使用する方向に移行/移行しています。シンプルなものにはいくつかの優雅さがあります...そして、3ステップのOAuthプロセスはそれほど悪くはありません...私はそれが最良の選択肢であることに気づきました。

より優れた、より安全な代替手段はありますか?

セキュリティ参照は、次のURLから派生しています。

ITセキュリティスタックエクスチェンジでこれに遭遇しましたが、セキュリティの観点からはそれが痛烈だと思いました。

たぶんSAML 2.0が代替手段ですか?

何についてのOpenIDの

この質問の目的は、プログラミングの観点からです。

OAuthは今日存在する最良のオプションですか?

セキュリティの観点、実装の観点、長寿命(数か月でやり直す必要はありません)、Webを消費するモバイルアプリケーションのサポートを可能にする消費者にWebアプリケーションを拡張できる代替オプションがありますか応用。


2
どのように良いですか?OAuthのどこが間違っていると思いますか?
ディーンハーディング


「Web2.0業界は変化しています/ OAuthを使用する方向に変化しています」これは大胆な声明です。SEはOAuthを使用する数少ない例の1つですが、大部分のサイトが使用しているとは感じません。
タマスシェレイ

facebook、twitter、weibo、yahoo、google、foursquare ...これらはすべて、api / services..noを使用するために提供しています。
卑劣な

1
重要な質問は、それらを利用するサイトの数です。
タマスシェレイ

回答:


11

まず、OAuthはログインの代替ではありません。これはOpenIDなどによって解決されるタスクです。

OAuthは一時的なデータ転送認証プロトコルです。websiteAからwebsiteBにデータをインポートするようなタスクには、OAuthを使用します。ただし、OpenIDを使用してwebsiteAにログインします。しかし、Googleは最近2つを組み合わせたプロトコルを発表したので、両者の違いは以前よりも濁っていると思います。

OAuthに代わるものはFacebook Connectです。それに代わるものがあるかどうかはわかりません(おそらく、RPCセキュリティシステムのいくつかはWebに適しているかもしれません)


区別を説明してくれてありがとう。私は全く間違った思い込みをしていました!
マットエレン

OAuthの概念は、スマートフォンをWebサイトに認証するために使用されていませんか?Android向けのtwitterやfoursquareアプリのように...?
卑劣な

1
@sdolgy:はい、それはあなたのサービスでサードパーティのアプリを認証する手段であり、そのアプリにパスワードを明かす必要はありません。
ディーンハーディング

これは、すべてのタイプのOAuth(クライアント資格情報など)をカバーするわけではないことに注意してください。
ロバートグラント
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.