Oauth 2.0 101

చాలా లగ్జరీ కార్లు వాలెట్ కీతో వస్తాయి. ఇది మీరు పార్కింగ్ అటెండర్‌కు ఇచ్చే ప్రత్యేక కీ మరియు మీ రెగ్యులర్ కీకి భిన్నంగా, ట్రంక్ మరియు ఆన్‌బోర్డ్ సెల్ ఫోన్‌కు ప్రాప్యతను నిరోధించేటప్పుడు కారును కొద్ది దూరం నడపడానికి మాత్రమే అనుమతిస్తుంది. వాలెట్ కీ విధించే పరిమితులతో సంబంధం లేకుండా, ఆలోచన చాలా తెలివైనది. మిగతావన్ని అన్‌లాక్ చేయడానికి మరొక కీని ఉపయోగిస్తున్నప్పుడు, మీరు ప్రత్యేకమైన కీతో మీ కారుకు పరిమిత ప్రాప్యతను ఇస్తారు. - OAuth 1.0 కు అధికారిక గైడ్

కమ్యూనిటీ-ఆధారిత స్పెసిఫికేషన్ మార్గదర్శకాలు 2007 లో OAuth మార్గాన్ని వివరించాయి. మరియు OAuth 2.0 పూర్తిగా క్రొత్త ప్రోటోకాల్ అయినప్పటికీ, అదే వివరణ ఇప్పటికీ వర్తిస్తుంది - OAuth వినియోగదారులకు మూడవ పార్టీ ప్రాప్యతను (మరియు పరిమిత ప్రాప్యతను) మంజూరు చేయడానికి ఒక మార్గంగా మిగిలిపోయింది వారి పాస్‌వర్డ్‌లను భాగస్వామ్యం చేయకుండా వనరులు.

మీరు క్రమం తప్పకుండా ఇంటర్నెట్‌లో ఉంటే, మీరు OAuth ను ఉపయోగించే సైట్‌ను చూసే అవకాశాలు ఉన్నాయి. అన్ని తరువాత, ప్రపంచంలోని అతిపెద్ద వెబ్‌సైట్‌లైన ఫేస్‌బుక్, గూగుల్, మైస్పేస్, ట్విట్టర్, ఫోటోబ్‌కూకెట్, యాహూ, ఎవర్నోట్ మరియు విమియో వంటివి ఈ ప్రామాణీకరణ ప్రమాణాన్ని ఉపయోగిస్తాయి. ఈ ప్రమాణం గురించి మరింత తెలుసుకోవడానికి చదవండి మరియు తరువాతి తరం OAuth 2.0 ఇప్పటికీ సాపేక్షంగా ప్రయోగాత్మక ప్రాతిపదికన ఎందుకు ఉపయోగించబడుతోంది.

OAuth 2.0 అంటే ఏమిటి?

మొదట, ప్రోటోకాల్‌గా OAuth ఏమి చేస్తుందో మీరు తెలుసుకోవాలి: ఇది రెండు వెబ్ లేదా డెస్క్‌టాప్ అనువర్తనాల మధ్య అప్లికేషన్ ప్రోగ్రామింగ్ ఇంటర్ఫేస్ అధికారాన్ని అనుమతిస్తుంది. ఫలితంగా, వెబ్‌సైట్‌లు రక్షిత వనరులను ఇతర వెబ్‌సైట్‌లు మరియు సేవలతో పంచుకోగలవు.

ఉదాహరణకు, మీరు మీ ఐప్యాడ్‌లో స్నేహితులతో పెనుగులాట ఆడితే, మీరు మీ ఫేస్‌బుక్ ఆధారాలను నమోదు చేయవచ్చు, మీ స్నేహితుల జాబితా ద్వారా ఆట చూడటానికి వీలు కల్పిస్తుంది, వారిలో ఎవరు ఆట ఆడుతున్నారో చూడటానికి - మరియు ఇతరులను చేరమని ఆహ్వానించండి. లేదా మీరు ట్విట్టర్‌లో మిమ్మల్ని ఎవరు అనుసరిస్తున్నారనే దాని ఆధారంగా Google+ లోని స్నేహితులతో కనెక్ట్ కావచ్చు. ఈ రకమైన అనువర్తనాలు వినియోగదారులకు ఉపయోగపడతాయి, కానీ అవి ఒక సైట్ లేదా ప్రోగ్రామ్ గురించి మరొక సైట్‌లో మీ గురించి సమాచారానికి ప్రాప్యత ఇవ్వడం.

OAuth 2.0 OAuth యొక్క మొదటి అవతారం వలె పనిచేస్తుంది, కానీ ఇది పూర్తిగా కొత్త ప్రమాణం. ఇది OAuth 1.0 తో వెనుకబడి అనుకూలంగా లేదని అర్థం. సంస్కరణ 2.0 అసలు OAuth తో చాలా సమస్యలను శుభ్రపరిచింది మరియు మెరుగుదలలు చేసింది.

మొదటి సంస్కరణ యొక్క నిర్మాణాన్ని ప్రాథమికంగా నిలుపుకుంటూ, 2.0 వీటిపై మెరుగుపడింది:

• ప్రామాణీకరణ మరియు సంతకాలు. OAuth 2.0 క్లయింట్ వైపు ఎవరైనా ప్రోటోకాల్‌ను అమలు చేయడం సులభం చేసింది.
• టోకెన్లను జారీ చేయడానికి వినియోగదారు అనుభవం మరియు ప్రత్యామ్నాయ మార్గాలు
• పనితీరు, ముఖ్యంగా పెద్ద వెబ్‌సైట్‌లు మరియు సేవలతో

OAuth 2.0 తో క్రొత్తగా ఉన్నదానిపై మరింత సమగ్రమైన వివరణ OAuth వర్కింగ్ గ్రూపులో భాగమైన ఎరాన్ హామర్ అందించారు. మీరు దీన్ని ఇక్కడ యాక్సెస్ చేయవచ్చు. ఏదేమైనా, ప్రమాణాన్ని అమలు చేసేటప్పుడు భద్రతా సమస్యలతో ఉన్న సమస్యలను పేర్కొంటూ హామర్ 2012 జూలైలో వర్కింగ్ గ్రూపును విడిచిపెట్టారని గమనించండి. తత్ఫలితంగా, 2010 చివరి నాటికి OAuth ఖరారు చేయవలసి ఉన్నప్పటికీ, ఇది ఫేస్బుక్ యొక్క గ్రాఫ్ API లో భాగం అయినప్పటికీ, ఇది ప్రతిపాదిత ప్రమాణంగా (రాసే సమయంలో) మిగిలి ఉంది. గూగుల్ మరియు మైక్రోసాఫ్ట్ కూడా తమ API లలో OAuth 2.0 మద్దతుతో ప్రయోగాలు చేస్తున్నాయి.

OAuth 2.0 ను ఉపయోగించడం వల్ల కలిగే ప్రయోజనాలు

OAuth ను ఉపయోగించడానికి ఒక మంచి కారణం ఏమిటంటే ఇది భాగస్వామ్యాన్ని చాలా సులభం చేస్తుంది. మేము ఇప్పటికే ఇన్‌స్టాగ్రామ్‌లో ఫోటోలను అప్‌లోడ్ చేయడం మరియు వాటిని ట్విట్టర్ మరియు ఫేస్‌బుక్‌లో స్వయంచాలకంగా పోస్ట్ చేయడం అలవాటు చేసుకున్నాము. వాస్తవానికి, ఈ రకమైన ఉపయోగం మరియు క్రాస్ఓవర్ సోషల్ మీడియాను అంతగా ఆకట్టుకుంటాయి.

కానీ అంతే కాదు. తుది వినియోగదారుల కోసం, OAuth అంటే మీరు మరొక ప్రొఫైల్‌ను సృష్టించాల్సిన అవసరం లేదు. ఉదాహరణకు, మీరు ఒక వ్యాసంపై వ్యాఖ్యానించాలనుకుంటే, ఇచ్చిన వెబ్‌సైట్‌లో ఖాతా కోసం సైన్ అప్ చేయకుండా, మీ ఫేస్‌బుక్ లేదా ట్విట్టర్ ఆధారాలను ఉపయోగించవచ్చు. మీరు సాధారణంగా సక్రియంగా లేని లేదా మీరు విశ్వసించని సైట్‌లకు ఇది చాలా బాగుంది. ఫేస్‌బుక్‌లో వినియోగదారులకు గుర్తింపు ఉందని నిర్ధారించుకోవడం ద్వారా ఇది సైట్‌లకు ప్రయోజనం చేకూరుస్తుంది, వ్యాఖ్య స్పామ్‌ను తక్కువ చేస్తుంది.

OAuth అంటే గుర్తుంచుకోవడానికి తక్కువ పాస్‌వర్డ్‌లు. వేర్వేరు వెబ్‌సైట్ సేవలకు వేర్వేరు పాస్‌వర్డ్‌లను కలిగి ఉండటం ఉత్తమ పద్ధతి. కాబట్టి మరొక పాస్‌వర్డ్‌ను గుర్తుంచుకోవడానికి బదులుగా, మీరు సేవను ప్రాప్యత చేయడానికి మీ ఫేస్‌బుక్ పాస్‌వర్డ్‌ను మాత్రమే ఉపయోగించాలి., మార్గం ద్వారా, మీ పాస్‌వర్డ్‌ను చూడలేరు.

మీ OAuth ద్వారా ఏ వనరులను యాక్సెస్ చేయవచ్చో కూడా మీరు పరిమితం చేయవచ్చు. ఉదాహరణకు, ఫేస్‌బుక్‌లో ఆట ఆడుతున్నప్పుడు, మీ తరపున మీ గోడపై ఆట పోస్ట్ చేయాలనుకుంటున్నారా లేదా అని మీరు పేర్కొనవచ్చు.

డెవలపర్ కోసం, OAuth 2.0 ప్రామాణీకరణలు, సామాజిక పరస్పర ప్రదర్శన మరియు వినియోగదారు ప్రొఫైల్ ప్రదర్శన కోసం ఇప్పటికే అభివృద్ధి చేసిన కోడ్‌ను అందిస్తుంది. దీని అర్థం డెవలపర్‌లతో పోరాడటానికి తక్కువ దోషాలు మరియు తక్కువ ప్రమాదం ఎందుకంటే API ఇప్పటికే డీబగ్ చేయబడింది, పరీక్షించబడింది మరియు నిరూపించబడింది. చివరగా, మీ స్వంత సర్వర్లలో నిల్వ చేయడానికి తక్కువ డేటాను కలిగి ఉండటం ద్వారా కూడా మీరు ప్రయోజనం పొందుతారు.

OAuth 2.0 ఎలా వచ్చింది

OAuth అనేది సురక్షితమైన కంప్యూటింగ్ మరియు వివిధ వెబ్ సేవలకు సౌలభ్యం కోసం చేసిన పిలుపుకు ప్రతిస్పందన అని చాలా స్పష్టంగా ఉంది. OAuth 2.0, మరోవైపు, OAuth ను తక్కువ సంక్లిష్టంగా చేయవలసిన అవసరం నుండి పుట్టింది. కానీ రెండింటి కోసం మొత్తం ఆలోచన వాస్తవానికి ఓపెన్ఐడి నుండి వచ్చింది.

ఓపెన్ఐడి అనేది మరొక వెబ్‌సైట్ నుండి లాగిన్ ఆధారాలను ఉపయోగించి వివిధ సేవలకు లాగిన్ అవ్వడానికి వినియోగదారులను అనుమతించే సేవ. కానీ ఓపెన్ఐడి చాలా పరిమితం, కాబట్టి వారి స్వంత సైట్ల కోసం వేర్వేరు ప్రామాణీకరణ ప్రోటోకాల్‌లపై పనిచేసే వ్యక్తుల సమూహం కలిసి వచ్చింది. మొదటి OAuth అమలులు 2007 లో జరిగాయి, మరియు మొదటి పునర్విమర్శ రెండు సంవత్సరాల తరువాత వచ్చింది.

OAuth 2.0 2010 లో సన్నివేశానికి చేరుకుంది. దీని ఉద్దేశ్యం క్లయింట్-డెవలపర్ సరళతపై దృష్టి పెట్టడం మరియు వినియోగదారు అనుభవాన్ని మెరుగుపరిచేటప్పుడు మరింత సులభంగా కొలవగలది.

ముందుకు సవాళ్లు?

గూగుల్, క్లౌట్ మరియు ఇతర పెద్ద పేర్లు OAuth 2.0 ను అమలు చేస్తున్నప్పటికీ, ఈ ప్రోటోకాల్ నుండి ఇంకా రాతి రహదారి ఉండవచ్చు. OAuth 2.0 కమ్యూనిటీ నుండి విమర్శలు ఉన్నాయి, వీటిలో ప్రోటోకాల్ యొక్క భద్రత గురించి ఆందోళనలు ఉన్నాయి (చాలా మంది ఇది OAuth 1.0 కన్నా తక్కువ భద్రత లేదని నమ్ముతారు).

హామర్ ప్రకారం, వెబ్ భద్రతపై ప్రావీణ్యం ఉన్న సమర్థ ప్రోగ్రామర్ ఉపయోగిస్తే, OAuth 2.0 పనిచేస్తుంది. దురదృష్టవశాత్తు, కొద్దిమంది డెవలపర్లు మాత్రమే ఆ బిల్లుకు సరిపోతారు.

అదనంగా, OAuth 2.0 సంకేతాలు పునర్వినియోగపరచబడవు. ఉదాహరణకు, ఫేస్‌బుక్ ఉపయోగించే OAuth 2.0 ప్రోటోకాల్‌లు ఇతర సైట్ ద్వారా సులభంగా ఉపయోగించబడవు. ఇంకా ఏమిటంటే, క్రొత్త ప్రోటోకాల్ అసలు కంటే చాలా క్లిష్టంగా ఉంటుంది.

కానీ చాలా మందికి నిజమైన కిక్కర్ ఏమిటంటే, OAuth 2.0 1.0 కంటే నిజమైన ప్రయోజనం లేదా మెరుగుదలని అందించడం లేదు. మీరు విజయవంతంగా 1.0 ను అమలు చేస్తుంటే, 2.0 కి అప్‌గ్రేడ్ చేయడానికి ఎటువంటి కారణం లేదని హామర్ రాశారు.

OAuth 2.0, అయితే, ఇప్పటికీ చాలా సజీవంగా ఉంది. ఇది లేవనెత్తిన విమర్శలు మరియు సమస్యలను పరిష్కరిస్తే, అది ఇప్పటికీ చాలా శక్తివంతమైన ప్రోటోకాల్‌గా ఒక స్థలాన్ని కనుగొనవచ్చు. అయితే, వ్రాసే సమయంలో, వెర్షన్ 1.0 ఇప్పటికీ OAuth యొక్క అధికారిక, స్థిరమైన మరియు పరీక్షించిన సంస్కరణగా పరిగణించబడుతుంది. ఏదేమైనా, ఆన్‌లైన్ ప్రపంచంలో పెద్ద పేర్లతో పనిచేయాలని లక్ష్యంగా పెట్టుకున్న డెవలపర్‌ల కోసం, ఈ ప్రోటోకాల్‌ను సురక్షితంగా అమలు చేయడం భవిష్యత్తులో చాలా దూరం కాదు.