Eine kleine Einführung in OAuth 2. Wem OAuth bisher kein Begriff ist, der kann sich ja nochmal Episode 3 anhören.
Länge: 0h54m40s (48.5 MB), Download MP3
Viel Spaß beim hören :)
OAuth 2 Draft: http://www.ietf.org/id/draft-ietf-oauth-v2-05.txt Einführung: http://hueniverse.com/2010/05/introducing-oauth-2-0/
Warum OAuth 2.0?
- Probleme mit mobilen Applikationen
- Probleme mit Javascript-Applikationen
- Problem mit Architektur, da nur peer-to-peer
- Signature Base String zu kompliziert
Die Geschichte
OAuth WRAP
OAuth WRAP - ein Versuch, es neu machen, zunächst unter anderem Namen, dann unter OAuth fliesst in OAuth 2.0 ein
OAuth 2.0
- Nicht kompatibel zu OAuth 1.0
- Es wird nur optional signiert (dann aber nur per SSL)
- Nicht nur 1 Flow sondern mehrere. Gemeinsamkeit: Es kommt ein Access-Token hinten raus
- Es gibt ein Refresh Token
- Der Aufruf von “protected Resources” ist immer gleich.
- erweiterte Architektur
Terminologie
- resource server
- protected resource
- client
- resource owner
- authorization server
- access token
- bearer token
Die Flows
- User-Agent Flow
- Web Server Flow
- Device Flow
- Username and Password Flow
- Client Credential Flow
- Assertion Flow