我一直在调查OAuth,以便将我网站上的资源分享给其他网站。 但是,几天前报道了OAuth规范的漏洞。 http://oauth.net/advisories/2009-1
许多网站决定停止OAuth,直到发布固定版本。
目前,我们可以替代OAuth吗? 我想要一个开放标准和安全的授权协议。
答案 0 :(得分:4)
建立OAuth是因为没有任何现有标准可以解决同样的问题。固定的OAuth规范即将推出。这对现有协议来说只是一个很小的变化。
答案 1 :(得分:1)
在短期内,您最好的选择是依靠基本身份验证机制(要求用户将其凭据输入您的站点以供外国站点使用)。
像乔纳森所说的那样,这个洞很快就会在规范中得到修复。答案 2 :(得分:1)
Oz是基于行业最佳做法的web authorization protocol。 Oz将Hawk authentication protocol与Iron encryption protocol结合在一起,提供了一种简单易用且安全的解决方案,用于代表用户或应用程序授予和验证对API的第三方访问权限。
OZ github link
Oz建立在OAuth protocol背后的众所周知的概念之上。虽然术语已经更新,以反映当前使用第三方访问构建应用程序时使用的常用术语,但总体架构是相同的。
答案 3 :(得分:0)
有一个OAuth 1.0规范的修订版本,但由于这个问题被问到OAuth版本2.0变得稳定,并且通常是推荐的协议。
答案 4 :(得分:0)
答案 5 :(得分:0)
Oauth提出了新的OAuth 2.0标准,它比OAuth 1.0和1.0a更安全。它可以访问访问令牌和访问密钥,并引入访问令牌和刷新令牌.Oauth 2.0中的访问令牌在特定时间范围内验证,之后,使用刷新令牌重新生成或刷新。