Eine kleine Einführung in OAuth 2. Wem OAuth bisher kein Begriff ist, der kann sich ja nochmal Episode 3 anhören.

Audio clip: Adobe Flash Player (version 9 or above) is required to play this audio clip. Download the latest version here. You also need to have JavaScript enabled in your browser.

Länge: 0h54m40s (48.5 MB), Download MP3

Viel Spaß beim hören

OAuth 2 Draft: http://www.ietf.org/id/draft-ietf-oauth-v2-05.txt
Einführung: http://hueniverse.com/2010/05/introducing-oauth-2-0/

Warum OAuth 2.0?

• Probleme mit mobilen Applikationen
• Probleme mit Javascript-Applikationen
• Problem mit Architektur, da nur peer-to-peer
• Signature Base String zu kompliziert

Die Geschichte

OAuth WRAP

OAuth WRAP – ein Versuch, es neu machen, zunächst unter anderem Namen, dann unter OAuth
fliesst in OAuth 2.0 ein

OAuth 2.0

• Nicht kompatibel zu OAuth 1.0
• Es wird nur optional signiert (dann aber nur per SSL)
• Nicht nur 1 Flow sondern mehrere. Gemeinsamkeit: Es kommt ein Access-Token hinten raus
• Es gibt ein Refresh Token
• Der Aufruf von “protected Resources” ist immer gleich.
• erweiterte Architektur

Terminologie

• resource server
• protected resource
• client
• resource owner
• authorization server
• access token
• bearer token

Die Flows

• User-Agent Flow
• Web Server Flow
• Device Flow
• Username and Password Flow
• Client Credential Flow
• Assertion Flow