最近這兩個星期斷斷續續花了一些時間看 oauthSpec。先簡單瞄了一下作者群: * Mark Atwood (me@mark.atwood.name) * Richard M. Conlan (zeveck@google.com) * Blaine Cook (blaine@twitter.com) * Leah Culver (leah@pownce.com) * Kellan Elliott-McCrea (kellan@flickr.com) * Larry Halff (larry@ma.gnolia.com) * Eran Hammer-Lahav (eran@hueniverse.com) * Ben Laurie (benl@google.com) * Chris Messina (chris@citizenagency.com) * John Panzer (jpanzer@acm.org) * Sam Quigley (quigley@emerose.com) * David Recordon (david@sixapart.com) * Eran Sandler (eran@yedda.com) * Jonathan Sergent (sergent@google.com) * Todd Sieling (todd@ma.gnolia.com) * Brian Slesinsky (brian-oauth@slesinsky.org) * Andy Smith (andy@jaiku.com)真是各路人馬都到位了。摘要如下: * 與 flickr API 所呈現出的概念十分相似。 * 使用者可以因此在各處操作自已的資產,卻不需提供存取資產所需的機密資料 * 資產:如 flickr 上的照片 * 各處:如 hypoDot,hypoDot 可讀取使用者在 flickr 上的照片 * 存取資產所需的機密資料:使用者的 flickr 帳號與密碼 * 名詞(自譯) * 使用者(User):將個人資產放在提供商系統上管裡的人 * 提供商(Service Provider):存放使用者資產的系統。 * 消費商(Consumer):欲操作儲存在提供商之使用者資產的系統 * Auth 同時表示 Authentication 與 Authorization * Spec 內容主要著重於:提供商與消費商之間如何進行交易,在經過使用者同意、認可(Authorize)的前提之下,讓消費商可以不必知道使用者的登入資訊 (Credentials),便能存取其資產。 * 此三方交易的實做細節定義在 HTTP 之上。但其實不必限制於網站應用程式。 * 與 OpenID 解決的問題不同,也不類似。(名稱上倒是有點容易造成誤解) * OpenID:讓大家知道你是誰 * OAuth:讓你能在各處使用你自已的資產(Auth means both Authorize and Authentication) * 消費商不必知道你的帳號,它也不必知道你是誰。它只是要用你的資料而已。 * 與其他「遠端登入」系統也不一樣(如 TypePad、Google Auth) 也不一樣。理由同前。 * 在實做方面,倒是與 OpenID / TypePad / Google Auth 類似。提供商與消費商兩方要經過數次交易,交換一些機密。不同的只有最後拿到的資料,OAuth 的消費商不會需要知道使用者的帳號,但其他三者就是要知道使用者的帳號。 而 Perl 模組已經有了,近期的修改似乎也很積極,不過沒有文件:http://search.cpan.org/dist/Net-OAuth/ 怎麼說呢,有點像是,咖啡店的熟客,因為混熟了,自然會有些特權,熟客介紹來的新客,只要報上熟客的大名,就可以暫時享有部份特權...

Labels: auth, cafe, oauth, perl