Oauth 2,0 101

Birçok lüks otomobil bir vale anahtarıyla birlikte gelir. Bu, park görevlisine verdiğiniz özel bir anahtardır ve normal anahtarınızın aksine, araca bagaja ve yerleşik cep telefonuna erişimi engellerken arabanın kısa bir mesafede sürülmesine izin verecektir. Vale anahtarının getirdiği kısıtlamalardan bağımsız olarak, fikir çok zekidir. Diğer her şeyin kilidini açmak için başka bir anahtar kullanırken, birine özel bir anahtarla arabanıza sınırlı erişim sağlarsınız. - OAuth 1.0 Resmi Kılavuzu

Topluluğa dayalı belirtim yönergeleri 2007'de OAuth'u bu şekilde açıkladı. OAuth 2.0 tamamen yeni bir protokol olsa da, aynı açıklama hala geçerlidir - OAuth, kullanıcıların üçüncü taraflara (ve sınırlı erişim) kaynakları parolalarını paylaşmadan.

İnternette düzenli olarak bulunuyorsanız, OAuth kullanan bir siteye rastlama şansınız vardır. Sonuçta, Facebook, Google, MySpace, Twitter, Photobcuket, Yahoo, Evernote ve Vimeo gibi dünyanın en büyük web siteleri bu kimlik doğrulama standardını kullanıyor. Bu standart ve yeni nesil OAuth 2.0'ın neden hala nispeten deneysel bir temelde kullanıldığı hakkında daha fazla bilgi edinmek için okumaya devam edin.

OAuth 2.0 nedir?

İlk olarak, bir protokol olarak OAuth'un ne yaptığını bilmeniz gerekir: İki Web veya masaüstü uygulaması arasında uygulama programlama arabirimi yetkilendirmesine izin verir. Sonuç olarak, web siteleri korumalı kaynakları diğer web siteleri ve hizmetlerle paylaşabilir.

Örneğin, iPad'inizde arkadaşlarınızla Scramble oynarsanız, Facebook kimlik bilgilerinizi girerek oyunun hangilerinin oyunu oynadığını görmek için arkadaş listenize bakmasına izin verebilir ve başkalarını katılmaya davet edebilirsiniz. Ya da sizi Twitter'da kimlerin izlediğine bağlı olarak Google + 'daki arkadaşlarınızla bağlantı kurabilirsiniz. Bu tür uygulamalar kullanıcılar için kullanışlıdır, ancak bir siteye veya programa başka bir sitedeki hakkınızdaki bilgilere erişim izni verir.

OAuth 2.0, OAuth'un ilk enkarnasyonu gibi çalışır, ancak tamamen yeni bir standarttır. Bu, OAuth 1.0 ile geriye dönük uyumlu olmadığı anlamına gelir. Sürüm 2.0, orijinal OAuth ile ilgili birçok sorunu temizledi ve iyileştirmeler yaptı.

Temel olarak ilk sürümün mimarisini korurken, 2.0 aşağıdakileri geliştirdi:

• Kimlik doğrulama ve imzalar. OAuth 2.0, istemci tarafındaki bir kişinin protokolü uygulamasını kolaylaştırdı.
• Kullanıcı deneyimi ve jeton vermenin alternatif yolları
• Performans, özellikle daha büyük web siteleri ve hizmetlerle

OAuth 2.0'daki yenilikler hakkında daha kapsamlı bir açıklama, eskiden OAuth çalışma grubunun bir parçası olan Eran Hammer tarafından sağlanıyor. Buradan erişebilirsiniz. Bununla birlikte, Hammer'ın standardı uygularken güvenlik endişeleriyle ilgili sorunları belirterek, Temmuz 2012'de çalışma grubundan ayrıldığını unutmayın. Sonuç olarak, OAuth'un 2010 sonuna kadar tamamlanması gerekiyor olsa da, Facebook'un Grafik API'sinin bir parçası olmasına rağmen (yazma sırasında) önerilen bir standart olmaya devam ediyor. Google ve Microsoft ayrıca API'larındaki OAuth 2.0 desteğini deniyor.

OAuth 2.0 Kullanmanın Yararları

OAuth'u kullanmanın en iyi nedenlerinden biri, paylaşımı çok daha kolay hale getirmesidir. Zaten Instagram'a fotoğraf yüklemek ve onları otomatik olarak Twitter ve Facebook'a göndermeye alışkınız. Aslında, sosyal medyayı bu kadar cazip hale getirmeye devam eden bu tür bir kullanım kolaylığı ve geçiş.

Ama hepsi bu değil. Son kullanıcılar için OAuth, başka bir profil oluşturmanız gerekmediği anlamına gelir. Örneğin, bir makaleye yorum bırakmak isterseniz, belirli bir web sitesinde bir hesaba kaydolmak yerine Facebook veya Twitter kimlik bilgilerinizi kullanabilirsiniz. Bu, genellikle etkin olmadığınız veya güvenemeyebileceğiniz siteler için mükemmeldir. Ayrıca, kullanıcıların Facebook'ta bir kimliğe sahip olmalarını sağlayarak yorum spam'lerini daha az olası hale getirerek sitelere yarar sağlayabilir.

OAuth ayrıca hatırlanması gereken daha az şifre anlamına gelir. Farklı web sitesi hizmetleri için farklı parolalara sahip olmak en iyi uygulamadır. Bu nedenle, başka bir şifreyi ezberlemek yerine, hizmete erişmek için yalnızca Facebook şifrenizi kullanmanız gerekir., bu arada, şifrenizi görmeyeceksiniz.

OAuth'unuz aracılığıyla hangi kaynaklara erişileceğini de sınırlayabilirsiniz. Örneğin, Facebook'ta bir oyun oynarken, oyunun sizin adınıza duvarınıza gönderilmesini isteyip istemediğinizi belirtebilirsiniz.

Geliştirici için, OAuth 2.0 kimlik doğrulama, sosyal etkileşim ekranı ve kullanıcı profili ekranı için önceden geliştirilmiş bir kod sağlar. API zaten hata ayıklanmış, test edilmiş ve kanıtlanmış olduğundan, geliştiricilere daha az hata ve daha az risk anlamına gelir. Son olarak, kendi sunucularınızda depolanacak daha az veriye sahip olmanız da avantaj sağlar.

OAuth 2.0 Nasıl Olmaya Geldi?

OAuth'un güvenli bilgi işlem ve farklı Web hizmetleri için kullanım kolaylığı çağrısına bir yanıt olduğu oldukça açıktır. Öte yandan OAuth 2.0, OAuth'u daha az karmaşık hale getirme ihtiyacından kaynaklandı. Ancak her ikisi için de fikir aslında OpenID'den geldi.

OpenID, kullanıcıların başka bir web sitesinden oturum açma kimlik bilgilerini kullanarak çeşitli hizmetlerde oturum açmalarına izin veren bir hizmettir. Ancak OpenID çok sınırlıydı, bu yüzden kendi siteleri için farklı yetkilendirme protokolleri üzerinde çalışan bir grup insan bir araya geldi. İlk OAuth uygulamaları 2007'de yapıldı ve ilk revizyon iki yıl sonra geldi.

OAuth 2.0 2010 yılında sahneye çıktı. Amacı, müşteri geliştirici basitliğine odaklanmak ve kullanıcı deneyimini geliştirirken daha kolay ölçeklenebilir olmaktı.

Önümüzdeki Zorluklar?

Google, Klout ve diğer büyük isimler OAuth 2.0'ı kullanıyor olsa da, bu protokolün önünde hala kayalık bir yol olabilir. OAuth 2.0 topluluğundan, protokolün güvenliği ile ilgili endişeler de dahil olmak üzere eleştiriler var (çoğu, OAuth 1.0'dan daha az güvenli olduğuna inanıyor).

Hammer'a göre, Web güvenliğinde tecrübeli bir programcı tarafından kullanılırsa, OAuth 2.0 çalışır. Ne yazık ki, geliştiricilerin sadece küçük bir azınlığı bu faturaya uymaktadır.

Ayrıca, OAuth 2.0 kodları yeniden kullanılamaz. Örneğin, Facebook tarafından kullanılan OAuth 2.0 protokolleri başka bir site tarafından kolayca kullanılamaz. Dahası, yeni protokol aslında orijinalinden çok daha karmaşıktır.

Ancak birçok insan için asıl belirleyici, OAuth 2.0'ın 1.0 üzerinde gerçek bir avantaj veya iyileştirme sunmadığıdır. Hammer, 1.0'ı başarıyla uygularsanız, 2.0'a yükseltmenin bir nedeni olmadığını yazıyor.

Ancak OAuth 2.0 hala çok canlı. Eleştiriler ve gündeme getirilen meseleleri ele alıyorsa, yine de çok güçlü bir protokol olarak bir yer bulabilir. Bununla birlikte, yazı yazılırken, sürüm 1.0 hala OAuth'un resmi, kararlı ve test edilmiş sürümü olarak kabul edilmektedir. Bununla birlikte, çevrimiçi dünyada büyük isimlerle çalışmayı amaçlayan geliştiriciler için, bu protokolü güvenli bir şekilde uygulamak, çok uzak olmayan bir gelecekte belirlenen önemli bir beceri haline gelebilir.