Alternativas ao OAuth?


20

O setor da Web está mudando / mudou para o uso do OAuth ao estender os serviços de API para consumidores e desenvolvedores externos. Existe alguma elegância no simples .... e bem, o processo OAuth em três etapas não é tão ruim ... acho que é o melhor de um monte de opções ruins.

Existem alternativas por aí que poderiam ser melhores e mais seguras?

A referência de segurança é derivada dos seguintes URLs:

Eu me deparei com isso na troca de pilhas do IT Security e achei que era comovente do ponto de vista da segurança:

Talvez o SAML 2.0 seja uma alternativa?

E o OpenID ?

O objetivo desta pergunta é do ponto de vista da programação.

OAuth é a melhor opção que existe hoje ...?

Existem opções alternativas que me permitem estender meu Aplicativo da Web a consumidores melhores do ponto de vista da segurança, do ponto de vista da implementação, da longevidade (não exigirá retrabalho em alguns meses) e permitindo o suporte de aplicativos móveis que consomem minha Web aplicação.


2
Melhor de que maneira? O que você vê como errado com o OAuth?
Dean Harding


"O setor da Web2.0 está mudando / mudou para o uso do OAuth" Essa é uma afirmação ousada. Embora o SE seja um dos poucos exemplos que usam o OAuth, não acho que a maioria dos sites o faça.
Tamás Szelei

facebook, twitter, weibo, yahoo, google, foursquare ... todos eles fornecem isso para consumir sua API / serviços .. não?
sdolgy

1
As perguntas importantes são quantos sites as utilizam?
Tamás Szelei

Respostas:


11

Em primeiro lugar, o OAuth não é uma substituição de login . Essa é uma tarefa resolvida pelo OpenID e semelhante.

OAuth é um protocolo de autorização de transferência de dados temporário. Para o tipo de tarefa em que você deseja importar seus dados do site A para o site B, você usaria o OAuth. Mas você ainda acessaria o site A usando o OpenID. No entanto, o Google anunciou recentemente um protocolo que combinava os dois, então acho que a diferença entre eles é mais confusa do que antes.

Uma alternativa ao OAuth seria o Facebook Connect . Não tenho certeza se conheço alternativas para isso (talvez alguns dos sistemas de segurança RPC possam ser adequados para a web)


Obrigado por explicar a distinção. Eu mantive uma suposição completamente errada!
Matt Ellen

os conceitos do OAuth não são usados ​​para autenticar smartphones em sites? como um aplicativo do twitter ou do quadrangular para android ...?
Sdolgy

1
@sdolgy: sim, é um meio de autenticar um aplicativo de terceiros com o seu serviço sem ter que revelar sua senha para esse aplicativo.
Dean Harding

Vale ressaltar que isso não abrange todos os tipos de OAuth, por exemplo, credenciais de cliente.
Robert Grant
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.