Archiwum

O OAuth (2.0), czyli o metodzie autoryzacji, bez ujawniania naszych haseł

2011-11-23

Obecnie w Internecie coraz bardziej powszechne jest integrowanie się wielu serwisów ze sobą w celu wymiany danych użytkownika. Przykładowo, gdy w pewnym serwisie mamy dodaną galerię zdjęć, dostępną jedynie po zalogowaniu się przez nas i chcemy pozwolić innemu serwisowi na pobranie całej galerii to bez dodatkowego, specjalnego mechanizmu musielibyśmy wprowadzić w tym zewnętrznym serwisie wszystkie nasze dane autoryzujące. 

 
Oczywiście podejście takie jest niedopuszczalne, ale jest na to rozwiązanie - standard OAuth.

 

Bardzo wielu bardziej świadomych użytkowników miałoby dużą niechęć by dzielić się swoimi prywatnymi hasłami. Co więcej, hasła te musiałyby być przechowywane jawnym tekstem (lub w najlepszym przypadku w sposób dający się odszyfrować).

 
Jest na to rozwiązanie. Druga wersja standardu OAuth opublikowana została w 2010 roku, a obecnie wykorzystywana jest w bardzo wielu serwisach takich jak Twitter, czy Facebook
 
W tym roku także Google udostępnił tę metodę jako polecany sposób autoryzacji we wszystkich swoich API. 
 
Standard OAuth2 definiuje specjalny sposób autoryzacji. W szczegółach zapoznać można się z nim na poniższym schemacie (źródło: http://code.google.com/apis/accounts/docs/OAuth2.html).
 
 
Tworzona przez nas aplikacja przekierowuje użytkownika na odpowiednią stronę dostawcy treści. Jedynie na tej stronie następuje logowanie użytkownika z wykorzystaniem jego haseł. Po przyznaniu uprawnień zwracany jest do naszej aplikacji odpowiedni token autoryzujący. 
Od tej pory, z wykorzystaniem tego tokenu, realizować możemy wszystkie zapytania do API mając przy tym właściwe (przyznane przez użytkownika) uprawnienia.
 
Warto zapoznać się ze szczegółami OAuth i pamiętać o tym rozwiązaniu, gdyż obecnie jest to bardzo często wykorzystywany standard. 

 

Mateusz
QuatroNET Sp. z o.o.
ul. Bronowicka 90
30-091 Kraków
NIP: 677-234-76-46
REGON: 121327090

Tel. kom.:603-40-50-43

Wiadomość została wysłana