¿Cómo se compartieron los recursos antes de OAuth?

6

Con OAuth 2.0, es bastante sencillo para un desarrollador autenticar a un usuario a través de otro servicio para obtener sus datos, por ejemplo. obtenga tweets de un usuario de Twitter o datos de estado físico a través de RunKeeper, sin conocer las credenciales de los usuarios.

¿Qué se usó antes de OAuth 1.0 y qué otras tecnologías se están usando? ¿Las credenciales se expusieron a menudo al desarrollador / servicio antes de OAuth?

    
pregunta Simon Cedergren Malmqvist 18.03.2015 - 10:56
fuente

3 respuestas

5

"De vuelta en el día" realmente no teníamos ningún estándar antes de auth, todo estaba hecho a mano y personalizado. (Así, por ejemplo, la API de photobucket proporcionó su propio mecanismo de autenticación directa). Generalmente, la autenticación basada en token con una clave de API (o incluso credenciales simples).

En ese entonces, la mayoría de los servicios en línea eran "islas" propias y realmente no ofrecían mucho en términos de intercambio de datos o de inicio de sesión único.

En situaciones más 'serias' (por ejemplo, transacciones con tarjeta de crédito), a menudo era una combinación de IP en lista blanca, token de autenticación y una URL POST-BACK personalizada.

La web era un lugar muy muy diferente hace 20 años en comparación con lo que es hoy.

    
respondido por el Damian Nikodem 18.03.2015 - 11:56
fuente
5

Hay varias técnicas que aún se utilizan junto a OAuth.

  • claves API / claves de servicio
  • listas blancas de IP
  • Inicio de sesión de usuario / contraseña
  • Inicio de sesión de token (no OAuth) ... por ejemplo. implementación personalizada.
  • ninguno, solo un punto final 'secreto'.

y muchas veces una combinación de ellos.

Lo que viste a menudo fue una combinación de listas blancas y una de las otras técnicas.

OAuth se diseñó para limitar la "filtración" desenfrenada de las credenciales de inicio de sesión del usuario, mediante la implementación de un sistema de token y autenticación (no basado en la información del usuario)

incluso está diseñado con la idea de reemplazar el sistema de nombre de usuario / contraseña tradicional. (en conjunto con openid, que hace una cosa similar a través de otros mecanismos, que funcionan asombrosamente al unísono).

    
respondido por el LvB 18.03.2015 - 11:39
fuente
0

Recuerde en la web 0.99, la idea era mantener un cierto control sobre el acceso a los recursos. Por lo tanto, usted, como desarrollador de middleware, obtendría una combinación de usuario y contraseña que identificaría sus solicitudes de manera única en diferentes esquemas de transporte (Internet no es solo www). La idea se extendió a no solo el hecho de iniciar sesión, sino que los datos en sí tenían un esquema que podría no haber sido tan legible hasta que usted invirtió el dinero para acceder. xml y las hojas de estilo de transformación fueron el resultado final, son la etiqueta basada en el equivalente de ASN.1 y BER.

Ahora, el objetivo de larga duración de los servicios de inicio de sesión único ha impregnado todo el ecosistema, y junto con la difusión del uso compartido / información legible por humanos (json!), dio como resultado la combinación openid / oauth como un medio para poder para manejar los propósitos de auditoría en el uso y acceso a la información.

    
respondido por el munchkin 18.03.2015 - 14:29
fuente

Lea otras preguntas en las etiquetas