我一直在研究 OAuth 以将我站点中的资源共享给其他站点。但是,前几天报告了OAuth规范的漏洞。 http://oauth.net/advisories/2009-1
许多站点决定停止 OAuth,直到发布固定版本。
目前,我们可以有任何替代 OAuth 的方法吗?我想要一个开放标准且安全的授权协议。
我一直在研究 OAuth 以将我站点中的资源共享给其他站点。但是,前几天报告了OAuth规范的漏洞。 http://oauth.net/advisories/2009-1
许多站点决定停止 OAuth,直到发布固定版本。
目前,我们可以有任何替代 OAuth 的方法吗?我想要一个开放标准且安全的授权协议。
建立 OAuth 是因为没有任何现有的标准可以解决同样的问题。一个固定的 OAuth 规范即将推出。这将是对现有协议的一个很小的改变。
在短期内,您最好的选择是依靠基本的身份验证机制(要求用户将他们的凭据输入到您的站点以获取外部站点)。
就像乔纳森说的,这个漏洞很快就会在规范中修复。
Oz
是web authorization protocol
基于行业最佳实践的。Oz
与Hawk authentication protocol
_ Iron encryption protocol
_
OZ github链接
Oz
建立在OAuth protocol
. 虽然术语已更新以反映当今构建具有第三方访问权限的应用程序时使用的常用术语,但总体架构是相同的。
OAuth 1.0 规范有一个修订版,但是自从提出这个问题后,OAuth 2.0 版正在变得稳定,并且通常是推荐的协议。
Oauth 提出了新的 OAuth 2.0 标准,它比 OAuth 1.0 和 1.0a 安全得多。它对访问令牌和访问秘密进行了处理,并引入了访问令牌和刷新令牌。Oauth 2.0 中的访问令牌在一定的时间范围内得到验证,之后它使用刷新令牌重新生成或刷新。