peter.e.king
- 浏览: 2899 次
- 性别:
- 来自: 武汉
-
最新评论
文章列表
1. 介绍
在传统的客户端-服务器认证模式中,当客户端请求访问服务器上受限制(受保护)的资源时,要通过服务器检查他是否有资源拥有着的证书来鉴定。为了让第三方应用能够访问受保护的资源,资源拥有者将他的证书分享给第三方应用,这就产生了如下几个问题和局限:
o 第三方应用必须保存资源拥有者的证书以备将来所用,典型的是一段明文密码。
o 服务器必须提供密码验证支持,尽管密码验证一直存在安全漏洞。
o 第三方应用获得了超出访问资源拥有者的保护资源,使得资源拥有者无力对资源的访问时段或对资源的子集访问进行 限制。
o 资源拥有者无法吊销单个第三方应用的访问权限,除非他吊销所有应用的访问权限 ...
OAuth 2.0 认证框架让第三方应用能够受限地访问http服务器,也可以代资源拥有着和HTTP服务器进行交互,或者让第三方应用能个获得资源拥有着的行为的访问权限。