OAuth 2.0 - 概述

什麼是 OAuth 2.0？

OAuth 是一種開放授權協議，它允許客戶端應用程式訪問資源所有者的資源，這些應用程式執行在諸如 Facebook、GitHub 等 HTTP 服務上。它允許在不使用使用者憑據的情況下，將儲存在一個站點上的資源共享到另一個站點。它使用使用者名稱和密碼令牌代替。

OAuth 2.0 由 *IETF OAuth 工作組* 開發，於 2012 年 10 月釋出。

為什麼使用 OAuth 2.0？

• 您可以使用 OAuth 2.0 從另一個應用程式讀取使用者的 資料。

• 它為 Web、桌面應用程式和移動裝置提供授權工作流程。

• 它是一個伺服器端 Web 應用程式，使用授權碼，並且不與使用者憑據互動。

OAuth 2.0 的特性

• OAuth 2.0 是一種簡單的協議，允許訪問使用者的資源而無需共享密碼。

• 它提供使用者代理流程，用於使用指令碼語言（例如 JavaScript）執行客戶端應用程式。通常，瀏覽器就是一個使用者代理。

• 它使用令牌而不是憑據來訪問資料，並將資料儲存在使用者的線上檔案系統中，例如 Google Docs 或 Dropbox 帳戶。

OAuth 2.0 的優勢

• OAuth 2.0 是一種非常靈活的協議，它依賴於 SSL（安全套接字層，確保 Web 伺服器和瀏覽器之間的資料保持私密）來儲存使用者訪問令牌。

• OAuth 2.0 依賴於 SSL，SSL 用於確保加密行業協議，並用於保護資料安全。

• 它允許有限地訪問使用者的資料，並在授權令牌過期時允許訪問。

• 它能夠在無需公開個人資訊的情況下共享使用者資料。

• 它更易於實現，並提供更強大的身份驗證。

OAuth 2.0 的劣勢

• 如果您在規範的末尾新增更多擴充套件，它將產生大量不互操作的實現，這意味著您必須為 Facebook、Google 等編寫單獨的程式碼。

• 如果您的常用站點連線到中央樞紐，並且中央帳戶被駭客入侵，那麼這將導致多個站點而不是單個站點受到嚴重影響。