在应用开发中,API已经导致了令人难以置信的爆炸式增长,而OAuth标准就是允许哪些内容安全和可靠地发生。通过应用程序接口(API)进行的应用开发就像是任何关系都是基于信任才能发生的。
可信的开发方式通过一个称为OAuth的开放认证标准实现。正如Sam Ramji所说,发生在过去的几年里的“应用寒武纪大爆发”不可能再出现了。
“OAuth已经成为人们使用大型社交媒体API的标准实践,跨企业的API越来越常见,”API管理公司Apigee的战略副主席Ramji说道。同时,标准的采纳越来越普遍,并且这个术语已经引起一些反响,但是并不是每个人都明白到底意味着什么。
Scott Morrison在他的解释中使它变得很简单。API管理公司Layer 7的首席技术官使用Facebook和Twitter来描述这个术语,这两个都是早期采用OAuth的案例。Morrison解释道:“Facebook和Twitter都以一种或其他方式代表我,我希望将这两者结合在一起;OAuth就是一种使个人能够在不同站点之间建立这种信任特设的技术。”
Morrison说在当前的网络环境,帐户的合并至关重要,但是在OAuth之前,用户名和密码是混乱的,必须分布在多平台之间,缺乏安全保障,并且很难跟踪。
“问题在于交付应用是工作重心。如果任何一方被盗用,你所给的信任土崩瓦解,” Morrison说,“相反,我们想要的是委托授权,希望能够与Facebook对话,‘这是一个特殊的证书,给你有限的访问Twitter账户的权限,但你可以访问所有的tweet。’有限的功能的子集。”
探索OAuth的优势
将OAuth与OpenID区分的有限功能子集,只是提供了认证,但不允许访问权限的管理。没有委托授权和管理访问权限,OAuth与单点登录认证没有区别。
虽然OAuth是一个标准,但是Morrison将它描述为是对“我们过去所做的进行大型标准化”的诅咒。他将它形容为能够开发的更多的草根运动。
Morrison说:“最重要的一点是,让开发者能够用API将多个应用集成在一起,发展中大的变革是使用标准化API,使应用能够跟应用对话。OAuth是重要的部分,因为它用于身份验证和授权认证。当你从一个应用调用其他应用时,使用这个口令。”
OAuth是面向服务结构衍生出来的,但就像API,它是被简化的,这属于Morrison所说的快速推向市场的“现代开发时代精神”——敏捷开发。
他补充说OAuth没有获得各方的认可,虽然它是与早期采用者一起发展壮大,但很大程度上消费者端仍有待开发。“目前,在政府、军事、情报社区工作的人们所做的很多事情一样,让更多人被固有标准吸引,”Morrison说,“在很多方面OAuth仍有待在一些领域证明自己。它已经在构建iphone应用方面,以及在使Facebook和Twitter一起合作方面做了大量的工作。”
Morrison预计OAuth有向上聚集效应,并最终达到更安全的开发环境。
