OAuth

Z Wikipedii, wolnej encyklopedii
Przejdź do nawigacji Przejdź do wyszukiwania
Logo OAuth

OAuthotwarty standard autoryzujący, pozwalający użytkownikom udostępniać aplikacjom i stronom trzecim informacje przechowywane u innych dostawców usług. Zazwyczaj wymagana jest nazwa użytkownika oraz token. Standard ten wykorzystywany jest m.in. przez Amazon, Google, Facebook, Microsoft oraz Twitter.

Internet Engineering Task Force to nieformalne, międzynarodowe stowarzyszenie osób zainteresowanych ustanawianiem standardów technicznych i organizacyjnych w Internecie.RFC (ang. Request for Comments – dosłownie: prośba o komentarze) – zbiór technicznych oraz organizacyjnych dokumentów mających formę memorandum związanych z Internetem oraz sieciami komputerowymi. Każdy z nich ma przypisany unikatowy numer identyfikacyjny, zwykle używany przy wszelkich odniesieniach. Publikacją RFC zajmuje się Internet Engineering Task Force.

OAuth zapewnia klientom tzw. „bezpieczny delegowany dostęp” do zasobów serwera w imieniu właściciela zasobów. Definiuje proces autoryzacji dostępu klientów zewnętrznych do zasobów serwera bez konieczności współdzielenia poświadczeń. Zaprojektowany z myślą o pracy z protokołem HTTP, OAuth zasadniczo umożliwia wydawanie tokenów dostępu klientom zewnętrznym poprzez serwer autoryzacji. Następnie klient zewnętrzny wykorzystuje otrzymany token aby uzyskać dostęp do chronionych zasobów przechowywanych na serwerze.

Interfejs programowania aplikacji (ang. Application Programming Interface, API) – sposób, rozumiany jako ściśle określony zestaw reguł i ich opisów, w jaki programy komunikują się między sobą. API definiuje się na poziomie kodu źródłowego dla takich składników oprogramowania jak np. aplikacje, biblioteki czy system operacyjny. Zadaniem API jest dostarczenie odpowiednich specyfikacji podprogramów, struktur danych, klas obiektów i wymaganych protokołów komunikacyjnych.Otwarty standard – standard, do którego pełnej specyfikacji dostęp nie jest limitowany prawnie, finansowo lub tajemnicą handlową firmy, która standard opracowała. Ponadto standard uznawany jako otwarty jest opracowywany, zatwierdzany oraz później ewentualnie modyfikowany przez porozumienie (organizację) zainteresowanych tworzeniem tego standardu podmiotów, działające niedochodowo i zapewniające członkostwo wszystkim zainteresowanym.

OAuth jest serwisem komplementarnym i odrębnym od OpenID. OAuth różni się także od OATH, który jest architekturą odniesienia dla procesu identyfikacji, a nie standardem. Jednakże OAuth jest bezpośrednio powiązany z OpenID Connect (OIDC), ponieważ OIDC jest warstwą identyfikacji zbudowaną w oparciu o OAuth 2.0. Różni się także od XAMCML, który jest standardem polityki autoryzacyjnej. OAuth może być użyty w połączeniu z XACML w taki sposób, że OAuth jest wykorzystywany do udzielenia zgody własności i pełnomocnictwa dostępu, a XACML do definiowania polityki autoryzacyjnej (np. menadżerowie mogą przeglądać dokumenty w swoim regionie).

Google Inc. NASDAQ: GOOG – amerykańskie przedsiębiorstwo z branży internetowej. Jego flagowym produktem jest wyszukiwarka Google, a deklarowaną misją - skatalogowanie światowych zasobów informacji i uczynienie ich powszechnie dostępnymi i użytecznymi.Minneapolis (wymowa: /ˌmɪniːˈæpəlɪs/) – miasto w Stanach Zjednoczonych, w stanie Minnesota. Największe miasto tego stanu, położone nad Missisipi. Nazywane jest „miastem jezior”. Stolica hrabstwa Hennepin. Miasto jest jednym z głównych miast aglomeracji policentrycznej – Minneapolis-Saint Paul.

Historia[ | edytuj kod]

OAuth został opracowany na początku listopada 2006 przez Baline'a Cooka, który w tym czasie pracował nad implementacją mechanizmu „Twitter OpenID”. W międzyczasie, Ma.gnolia szukała rozwiązania problemu autoryzacji widżetów dla serwisów członków autoryzujących się przez OpenID. Cook, Chris Messina i Larry Halff z Ma.gnolia spotkali się z Davidem Recordonem aby omówić wykorzystanie OpenID z Twitterem i API Ma.gnolia, aby delegować identyfikację. Doszli do wniosku, że nie istnieją pisane standardy dla delegowania dostępu aplikacji.

Facebook – serwis społecznościowy, w ramach którego zarejestrowani użytkownicy mogą tworzyć sieci i grupy, dzielić się wiadomościami i zdjęciami oraz korzystać z aplikacji, będących własnością Facebook, Inc. z siedzibą w Menlo Park. W październiku 2012 liczba użytkowników na całym świecie wynosiła ponad 1 miliard, a co miesiąc wgrywany jest ponad 1 mld zdjęć oraz 10 mln filmów, których obecnie jest 265 miliardów. Średni wiek użytkownika serwisu to 22 lata. Dane zgromadzone na Facebooku to ponad 180 petabajtów, co 24 godziny przybywa ponad 0,5 petabajta.Token – generator kodów jednorazowych – urządzenie elektroniczne służące do uwierzytelniania transakcji internetowych, najczęściej bankowych. Jego działanie polega na generowaniu ciągów cyfr za pomocą funkcji jednokierunkowej wykorzystującej dwa parametry – jeden stały dla konkretnego egzemplarza urządzenia, drugi zmienny – wprowadzany za pomocą klawiatury, wczytywany z ekranu monitora, bądź generowany na podstawie czasu. Tokeny występują w formie generatorów haseł jednorazowych (One Time Password – OTP) oraz bardziej zaawansowanej wyzwanie-odpowiedź (Challenge-response). Tokeny OTP wyświetlają kod zmieniamy zwykle co 60 sekund i nie posiadają przycisku lub posiadają tylko jeden przycisk wywołujący wyświetlenie kodu, natomiast tokeny Challenge-response przypominają niewielkie kalkulatory i zazwyczaj są chronione kodem PIN. Rozwinięciem tokenów Challenge-response są czytniki kart obliczające kody na podstawie klucza zapisanego na mikroprocesorze karty płatniczej. Najnowszym rozwiązaniem są jednak tokeny OTP oraz Challenge-response wbudowane w kartę formatu karty płatniczej (może to być zarówno karta Visa lub Mastercard z wbudowanym tokenem, jak i oddzielny token służący jedynie do autentyfikacji).

Grupa dyskusyjna na temat OAuth została założona w kwietniu 2007. Była to mała grupa zajmująca się stworzeniem szkicu, który mógłby być propozycją otwartego protokołu. DeWitt Clinton z firmy Google dowiedziawszy się o projekcie OAuth wyraził swoje zainteresowanie w kwestii wsparcia wysiłków prowadzących do jego ukończenia. W lipcu 2007 zespół stworzył wstępną specyfikację. Eran Hammer dołączył do zespołu koordynując wiele składowych protokołu OAuth w celu utworzenia formalnej specyfikacji. 4 grudnia 2007 utworzony został ostateczny szkic OAuth Core 1.0.

HTTP (ang. Hypertext Transfer Protocol – protokół przesyłania dokumentów hipertekstowych) to protokół sieci WWW (ang. World Wide Web). Obecną definicję HTTP stanowi RFC 2616. Za pomocą protokołu HTTP przesyła się żądania udostępnienia dokumentów WWW i informacje o kliknięciu odnośnika oraz informacje z formularzy. Zadaniem stron WWW jest publikowanie informacji – natomiast protokół HTTP właśnie to umożliwia.

Na 73. spotkaniu Internet Engineering Task Force (IETF) w Minneapolis w listopadzie 2008 poruszony został temat włączenia protokołu do IETF w celu dalszej standaryzacji. Wydarzenie było bardzo popularne i pojawiło się szerokie wsparcie dla utworzenia oficjalnej grupy OAuth na IETF.

Protokół OAuth 1.0 został opublikowany jako RFC (Request for Comments) 5849 w kwietniu 2010.

Od 31 sierpnia 2010 wszystkie zewnętrzne aplikacje Twittera zobowiązane były do identyfikowania się przez OAuth.

W październiku 2012 opublikowany został OAuth 2.0 jako RFC 6749, oraz Bearer Token Usage jako RFC 6750.

Podstrony: 1 [2] [3]
Reklama