OAuth
作者:gugod 發佈於:最近這兩個星期斷斷續續花了一些時間看 oauth 的 Spec。先簡單瞄了一下作者群: Mark Atwood (me@mark.atwood.name) Richard M. Conlan (zeveck@google.com) Blaine Cook (blaine@twitter.com) Leah Culver (leah@pownce.com) Kellan Elliott-McCrea (kellan@flickr.com) Larry Halff (larry@ma.gnolia.com) Eran Hammer-Lahav (eran@hueniverse.com) Ben Laurie (benl@google.com) Chris Messina (chris@citizenagency.com) John Panzer (jpanzer@acm.org) Sam Quigley (quigley@emerose.com) David Recordon (david@sixapart.com) Eran Sandler (eran@yedda.com) Jonathan Sergent (sergent@google.com) Todd Sieling (todd@ma.gnolia.com) Brian Slesinsky (brian-oauth@slesinsky.org) Andy Smith (andy@jaiku.com)真是各路人馬都到位了。摘要如下: 與 flickr API 所呈現出的概念十分相似。 使用者可以因此在各處操作自已的資產,卻不需提供存取資產所需的機密資料 資產:如 flickr 上的照片 各處:如 hypoDot,hypoDot 可讀取使用者在 flickr 上的照片 存取資產所需的機密資料:使用者的 flickr 帳號與密碼 名詞(自譯) 使用者(User):將個人資產放在提供商系統上管裡的人 提供商(Service Provider):存放使用者資產的系統。 消費商(Consumer):欲操作儲存在提供商之使用者資產的系統 Auth 同時表示 Authentication 與 Authorization Spec 內容主要著重於:提供商與消費商之間如何進行交易,在經過使用者同意、認可(Authorize)的前提之下,讓消費商可以不必知道使用者的登入資訊 (Credentials),便能存取其資產。 此三方交易的實做細節定義在 HTTP 之上。但其實不必限制於網站應用程式。 與 OpenID 解決的問題不同,也不類似。(名稱上倒是有點容易造成誤解) OpenID:讓大家知道你是誰 OAuth:讓你能在各處使用你自已的資產(Auth means both Authorize and Authentication) 消費商不必知道你的帳號,它也不必知道你是誰。它只是要用你的資料而已。 與其他「遠端登入」系統也不一樣(如 TypePad、Google Auth) 也不一樣。理由同前。 * 在實做方面,倒是與 OpenID / TypePad / Google Auth 類似。提供商與消費商兩方要經過數次交易,交換一些機密。不同的只有最後拿到的資料,OAuth 的消費商不會需要知道使用者的帳號,但其他三者就是要知道使用者的帳號。 而 Perl 模組已經有了,近期的修改似乎也很積極,不過沒有文件:http://search.cpan.org/dist/Net-OAuth/ 怎麼說呢,有點像是,咖啡店的熟客,因為混熟了,自然會有些特權,熟客介紹來的新客,只要報上熟客的大名,就可以暫時享有部份特權...