随着网络应用和网站数量的发展,越来越多的站点依赖于分布式的服务和云计算,一次登录,处处使用的认证越来越需要。之前各大门户网站有其“通行证”,例如网易通行证,一证通行所有网易的服务。而随着网络应用类别以及其交叉越来越多,局限于某个网站的通行证已经不再适应潮流的发展和用户的需要,用户需要记忆网易通行证、新浪通行证、搜狐通行证等等,不方便。于是出现了类似于“人人连接”的服务。“人人网通过“人人连接”技术与土豆网、56网、有道、集合、天极网、课乐网、豆瓣等各大垂直领域网站全面连接。千橡集团CEO陈一舟表示,只要有了“人人连接”,人人网不需要做内容。”非常方便。人人连接还不开放,国产的东西都这样。QQ,百度搜索API等好像也不开放。那么我们怎么办呢?
其实,已经有了OpenID,而且目前应用也还可以,包括Joomla!, Wordpress等都支持了OpenID,之前写了一篇文档介绍OpenID的现在找不到了。
今天要介绍的是另外一个技术OAuth (http://hueniverse.com/oauth/ )。
OAuth为用户提供了一种可以不共享密码而授权第三方来访问其资源的方法。它超越了传统的客户机/服务器认证的模型,客户端的用户使用信用证书来访问服务器上的资源。OAuth为这种模型引入了一种新的第三方角色:资源所有者。在OAuth模型中,作为不是资源所有者的客户端请求访问在服务器上的资源,而资源的访问权限是由资源所有者控制的。客户必须首先向资源所有者申请许可以便访问这些资源,而这许可就以某种令牌的形式来匹配对私密信息的共享。
目前已经有的一些业界协议包括Google AuthSub 、Yahoo BBAuth 、和Flickr API 等。而OAuth在很大程度上是从OpenID社区分出来的。在2006年11月Blaine Cook 为Twitter添加了OpenID的支持,在12月Chris Messina ,Blaine Cook ,David Recordon 等人在OpenID的会议上讨论已存在的一些解决方案。研究了OpenID的已有功能和设计局限性以后,讨论小组的基础结论,需要一个API访问控制的开放标准,它不需要共享密码也不需要获知登录信息,直接允许将OpenID等技术应用于API调用中。这个想法就叫开放式认证OpenAuth(类比于开放式标识OpenID)。2007年4月成立了OpenAuth谷歌论坛(http://groups.google.com/group/openauth ),7月15日David Recordon将说明文档整理成第一实用规范草稿(first real specification draft ),并于7月26日发布,8月28日发布了草稿0.9版本。目前版本是OAuth Core 1.0 Editor’s Cut ,并集成到draft-hammer-oauth ,且正在审查以便成为informational RFC。草案全文:http://tools.ietf.org/html/draft-hammer-oauth-10 。
OAuth规范包括两部分。第一部分定义了基于重定向的浏览器对终端用户进行认证的处理过程,以便授权客户端访问他们的资源。用户直接通过服务器进行认证,而该规范指导服务器使用认证方法为客户端提供令牌。第二部分定义了进行HTTP请求认证所使用的两个信用证书的集合,一个是识别发出请求的客户,另外一个是标识将授权请求的资源所有者。
OAuth 1.0协议规范的大纲包括:引言Introduction、基于重定向的授权Redirection-Based Authorization、授权的的请求Authenticated Requests、安全性考虑Security Considerations、和列出不同版本区别的附录A。
Google Data API目前可以使用OAuth,详见Using OAuth with the Google Data APIs (http://code.google.com/intl/en/apis/gdata/articles/oauth.html )
目前自己写程序或者使用Google Data API应用使用OAuth是没有问题了,但是使用Wordpress和Joomla!等开源工具是否方便集成还需要进一步探讨。
2124
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
