Industri Web bergeser / telah bergeser ke arah menggunakan OAuth saat memperluas layanan API ke konsumen & pengembang eksternal. Ada beberapa keanggunan secara sederhana .... dan yah, proses 3 langkah OAuth tidak terlalu buruk ... saya hanya menemukan itu adalah yang terbaik dari banyak pilihan yang buruk.
Adakah alternatif di luar sana yang bisa lebih baik, dan lebih aman?
Referensi keamanan berasal dari URL berikut:
Saya telah menemukan ini pada pertukaran stack Keamanan TI dan berpikir itu sangat tajam dari sudut pandang keamanan:
Mungkin SAML 2.0 adalah alternatif?
Bagaimana dengan OpenID ?
Tujuan dari pertanyaan ini adalah dari sudut pandang pemrograman.
Apakah OAuth pilihan terbaik yang ada saat ini ...?
Apakah ada opsi alternatif yang memungkinkan saya untuk memperluas Aplikasi Web saya ke konsumen yang lebih baik dari sudut pandang keamanan, sudut pandang implementasi, umur panjang (tidak memerlukan pengerjaan ulang dalam beberapa bulan), dan memungkinkan dukungan aplikasi seluler yang menggunakan web saya aplikasi.
sumber
Jawaban:
Pertama, OAuth bukan pengganti login . Itu tugas yang diselesaikan oleh OpenID dan sejenisnya.
OAuth adalah protokol otorisasi transfer data sementara. Untuk jenis tugas di mana Anda ingin mengimpor data Anda dari situs webA ke situs webB, Anda akan menggunakan OAuth. Tapi Anda masih masuk ke situs webA menggunakan OpenID. Namun, Google baru-baru ini mengumumkan protokol yang menggabungkan keduanya, jadi saya kira perbedaan di antara mereka lebih berlumpur daripada sebelumnya.
Alternatif untuk OAuth adalah Facebook Connect . Saya tidak yakin saya tahu ada alternatif untuk itu (mungkin beberapa sistem keamanan RPC mungkin cocok untuk web)
sumber