The OAuth 2.0 Authorization Fr
2017-02-27 本文已影响0人
郭骞stillrun
文章链接 http://www.rfcreader.com/#rfc6749
摘要
OAuth 2.0认证框架能够使第三方应用来进行一定限制的http服务访问,亦或者以通过编排资源所有者和Http服务之间的交互许可来作为服务所有者的代表,或允许第三方应用本身访问服务本身代表,但是这一特性已在OAuth 1.0协议中废弃。
事例状态
这是一个标准的Internet跟踪文档
这个文档是IETF(Internet Engineering Task Force)的产品,它展示了IEFT社区的一致意见,它也受到了广泛的review,并且被IESG所出版,、。
介绍
在传统的客户端-服务端认证模式中,通过使用服务端提供的凭证来访问服务端受限的资源,为了提供第三方应用来访问受限资源,服务端提供自身的凭证给第三应用,这样将产生几点问题和缺陷。
1、第三方系统要提供服务的凭证来为以后进行使用,通常如平文本中的密码
2、服务端需要密码支持,尽管以密码的方式固有的薄弱
3、第三方应用获得过多广泛的服务端受保护的访问资源,使得服务者本身在访问期间访问受限或者访问服务的一些集合受限
4、服务端不能撤销非法的第三方应用,这些第三方应用没有撤销访问的能力,如果一定要撤销些访问的话只有改变第三方应用的密码。