用应用编程接口(API)进行应用开发就像任何的关系一样,就是关于信任。
这种信任的开发方式是通过一个开放式认证标准,称之为OAuth。正如Sam Ramji解释的,在过去的今年中已经发生的“应用的寒武纪爆发”如果没有它就不能发生。
“OAuth成为人们使用大型社交API的标准实践,”Ramji说道,他是API管理公司Apigee的Pala Alto战略VP,“而且在企业API中越来越普遍。”
尽管标准的接纳成为常态,术语还是导致了一些困惑,并不是每一个人都能准确理解OAuth的含义。
Scott Morrison在对其的解释中尽可能让其简单。他是API管理公司Layer 7的首席技术官,Layer 7使用Facebook和Twitter,这二者都是OAuth的早期采用者。
“Facebook和Twitter呈现给我的就是无论如何,我都要把二者结合在一起,”Morrison说道,“OAuth是一种允许个人在不同网站之间构建信任ad hoc的技术。”
Morrison表示当期Web风气中的价值合并是重要的,但是在OAuth之前,就是一大堆用户名和密码,而且是跨多个平台分布存在的,导致了安全代沟,而且很难跟踪什么去了哪里。
“这个问题在于将应用编程成功的关键。如果任何一方妥协,你所给予的信任就会受到影响瓦解,”Morrison表示,“相反,我们想要的就是授权认证。我们希望能能够对Facebook说,‘这里有一个特殊的证书,限制访问Twitter账户,但是你可以访问tweet。’一种功能的有限子集。”
对应用开发解释OAuth好处
这个功能的有限子集将OAuth区别于OpenID,OpenID只是提供认证,但并不允许管理访问权限。没有授权认证和管理访问权限,OAuth和单点登录认证没什么区别。
尽管OAuth是一项标准,Morrison将其描述为“我们过去所做的重要标准化”的诅咒。他认为这更多的是一种草根运动在促进其发展。
“关键点在于它允许开发者能够使用API集成多种应用,”Morrison介绍,“发展中的大变革在于使用标准化的API,让应用和应用对话。OAuth是这其中的重要部分,因为OAuth是认证和授权认证所使用的东西。OAuth是你在从一个应用调用另一个应用的所使用的口令。”
OAuth由面向服务架构而来,但是就像API,是简化的,适应于Morrison所说的快速上市、敏捷开发的“现代开发者时代精神”。
此外,他补充道OAuth一直没有得到各方的接纳,其早期采用者还广泛存在于开发池的消费者终端中。Morrison期望OAuth能产生上滴效应,从本质上实现安全的开发环境。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
相关推荐
-
OAuth API密钥如何降低API安全威胁
API聚合平台Apigee的首席安全架构师Subra Kumaraswamy与我们讨论了API安全的最佳实践方式。
-
信任就是金钱:oauth有助于加快应用开发
在应用开发中,API已经导致了令人难以置信的爆炸式增长,而OAuth标准就是允许哪些内容安全和可靠地发生。通过应用程序接口(API)进行的应用开发就像是任何关系都是基于信任才能发生的。
-
Web API应用远不止Facebook和Twitter
在2000年末,在社交媒体开始嵌入Web API之前,术语Web API并没有在大多数人脑中形成这个概念。很多人联想到API,就是应用编程接口的缩写,而且是伴随像Facebook……
-
OAuth协议获得网络服务安全协议授权
使用基于令牌(token-based)的安全模式,导致OAuth(开放授权)协议最近在安全和服务界备受瞩目。尽管OAuth并不是人人皆知的词语,但是也会逐渐为人们所熟知。最著名的OAuth应用就是Facebook平台。