Alternatif untuk OAuth?

20

Industri Web bergeser / telah bergeser ke arah menggunakan OAuth saat memperluas layanan API ke konsumen & pengembang eksternal. Ada beberapa keanggunan secara sederhana .... dan yah, proses 3 langkah OAuth tidak terlalu buruk ... saya hanya menemukan itu adalah yang terbaik dari banyak pilihan yang buruk.

Adakah alternatif di luar sana yang bisa lebih baik, dan lebih aman?

Referensi keamanan berasal dari URL berikut:

Saya telah menemukan ini pada pertukaran stack Keamanan TI dan berpikir itu sangat tajam dari sudut pandang keamanan:

Mungkin SAML 2.0 adalah alternatif?

Bagaimana dengan OpenID ?

Tujuan dari pertanyaan ini adalah dari sudut pandang pemrograman.

Apakah OAuth pilihan terbaik yang ada saat ini ...?

Apakah ada opsi alternatif yang memungkinkan saya untuk memperluas Aplikasi Web saya ke konsumen yang lebih baik dari sudut pandang keamanan, sudut pandang implementasi, umur panjang (tidak memerlukan pengerjaan ulang dalam beberapa bulan), dan memungkinkan dukungan aplikasi seluler yang menggunakan web saya aplikasi.

sdolgy
sumber
2
Lebih baik dalam hal apa? Apa yang Anda lihat salah dengan OAuth?
Dean Harding
"Industri Web2.0 bergeser / telah bergeser ke arah menggunakan OAuth" Itu pernyataan yang berani. Sementara SE adalah salah satu dari sedikit contoh yang menggunakan OAuth, saya tidak merasa bahwa sebagian besar situs melakukannya.
Tamás Szelei
facebook, twitter, weibo, yahoo, google, foursquare ... mereka semua menyediakannya untuk mengkonsumsi api / layanan mereka..tidak?
sdolgy
1
Pertanyaan penting adalah berapa banyak situs yang menggunakannya?
Tamás Szelei

Jawaban:

11

Pertama, OAuth bukan pengganti login . Itu tugas yang diselesaikan oleh OpenID dan sejenisnya.

OAuth adalah protokol otorisasi transfer data sementara. Untuk jenis tugas di mana Anda ingin mengimpor data Anda dari situs webA ke situs webB, Anda akan menggunakan OAuth. Tapi Anda masih masuk ke situs webA menggunakan OpenID. Namun, Google baru-baru ini mengumumkan protokol yang menggabungkan keduanya, jadi saya kira perbedaan di antara mereka lebih berlumpur daripada sebelumnya.

Alternatif untuk OAuth adalah Facebook Connect . Saya tidak yakin saya tahu ada alternatif untuk itu (mungkin beberapa sistem keamanan RPC mungkin cocok untuk web)

gbjbaanb
sumber
Terima kasih telah menjelaskan perbedaannya. Saya memegang asumsi yang benar-benar salah!
Matt Ellen
Apakah konsep OAuth tidak digunakan untuk mengotentikasi ponsel pintar ke situs web? seperti aplikasi twitter atau foursquare untuk android ...?
sdolgy
1
@ sdolgy: ya, ini merupakan sarana untuk mengautentikasi aplikasi pihak ketiga dengan layanan Anda tanpa harus mengungkapkan kata sandi Anda ke aplikasi itu.
Dean Harding
Perlu disebutkan bahwa ini tidak mencakup semua jenis OAuth, misalnya Kredensial Klien.
Robert Grant