分類: 問答 常識(shí)詞典 編輯 : 常識(shí) 發(fā)布 : 08-20

閱讀 :407

OpenID 和 OAut- 的區(qū)別？網(wǎng)上查到說 OpenID 是用來驗(yàn)證的，可以用一個(gè) URL 來唯一表明自己的身份（不用挨個(gè)記每個(gè)網(wǎng)站的用戶密碼）。OAut- 是用來授權(quán)在另外一個(gè)網(wǎng)站的數(shù)據(jù)。但是目前國內(nèi)新浪微博、豆瓣的 OAut- API 很多都被應(yīng)用于網(wǎng)站的直接登錄？是不是被濫用了？這兩者的功能上似乎有重復(fù)？4 個(gè)答案

答案 1：

OAut- > OpenID 。 舉個(gè)簡(jiǎn)單的栗子：收某快遞需要提供-（好比 OpenID ），而你卻順便帶上了自己家的鑰匙并交給他（好比 OAut- ）……后果-。再舉個(gè)具體的栗子：現(xiàn)在很多網(wǎng)站都提供了「使用新浪微博快速連接」（也就是 OAut- ）作為登錄方式。但當(dāng)你不確定這個(gè)網(wǎng)站是否可信時(shí)，這樣做是危險(xiǎn)的（雖然事后可以到新浪微博的設(shè)置頁面移除）。因?yàn)?OAut- 之后，就相當(dāng)于把你微博的數(shù)據(jù)（比如看私信）和權(quán)利（比如發(fā)私信）交給了這個(gè)網(wǎng)站，至于網(wǎng)站要做什么你根本不知道。而 OpenID 只是告訴網(wǎng)站或別人，這個(gè)帳號(hào)是你而已，并不會(huì)也無法提供其它數(shù)據(jù)。如果還不太懂我說啥的話，推薦閱讀：-uoding/2010...

答案 2：

OpenID是Aut-enticationOAut-是Aut-orization前者是網(wǎng)站對(duì)用戶進(jìn)行認(rèn)證，讓網(wǎng)站知道“你是你所聲稱的URL的屬主”后者其實(shí)并不包括認(rèn)證，只不過“只有認(rèn)證成功的人才能進(jìn)行授權(quán)”，結(jié)果類似于“認(rèn)證+授權(quán)”了。OAut-相當(dāng)于：A網(wǎng)站給B網(wǎng)站一個(gè)令牌，然后告訴B網(wǎng)站說根據(jù)這個(gè)令牌你可以獲取到某用戶在A網(wǎng)站上允許你訪問的所有信息如果A網(wǎng)站需要用B網(wǎng)站的用戶系統(tǒng)進(jìn)行登錄（學(xué)名好像叫federated login），它可以

選擇OpenID認(rèn)證，然后通過attribute exc-ange獲取用戶的昵稱或其他通過OpenID暴露出來的用戶屬性，或者

選擇OAut-認(rèn)證，獲取到token后再用token獲取用戶昵稱或其他允許被訪問的信息

關(guān)于OAut-的授權(quán)，不能說是濫用，是OAut- Service Provider對(duì)OAut-的權(quán)限沒有細(xì)分。好比我只需要用戶的昵稱性別，你卻把修改昵稱性別的權(quán)限也授權(quán)給我了（雖然我不一定會(huì)去用）。這個(gè)錯(cuò)在OAut- Service Provider

答案 3：

OAut-讓授權(quán)網(wǎng)站可以在不獲知你的密碼的情況下?lián)碛心銓?duì)該網(wǎng)站的使用權(quán)限。這種授權(quán)原應(yīng)是你對(duì)信任的網(wǎng)站授予你某個(gè)網(wǎng)站（如微博，人人）的使用權(quán)限。但現(xiàn)在被廣泛的用于免去注冊(cè)環(huán)節(jié)直接登錄的方法。換言之，網(wǎng)站借大部分用戶對(duì)OAut-概念的不清楚，“騙取”了你的所有權(quán)限。至于這個(gè)先例，應(yīng)該是Facebook connect開的吧。

答案 4：

確實(shí)有可能被濫用了，根據(jù)OAut-的設(shè)計(jì)原則，請(qǐng)求網(wǎng)站（比如人人網(wǎng)）不存儲(chǔ)用戶在服務(wù)網(wǎng)站（比如新浪微博）上的帳號(hào)和密碼，而是跳到服務(wù)網(wǎng)站去登錄從而申請(qǐng)授權(quán)。然后可以長時(shí)間使用這個(gè)授權(quán)，而用戶也可以隨時(shí)終止這個(gè)授權(quán)。所以關(guān)鍵在于，服務(wù)網(wǎng)站對(duì)這個(gè)授權(quán)的控制。如果人人網(wǎng)可以隨意通過“使用新浪微博快速連接”的服務(wù)申請(qǐng)到訪問用戶所有微博數(shù)據(jù)的授權(quán)，那么這種授權(quán)方式明顯屬于濫用，因?yàn)槿巳司W(wǎng)在這個(gè)環(huán)節(jié)中只需要證明用戶身份的服務(wù)，而并不需要訪問用戶的微博數(shù)據(jù)。

下一篇:有些印度姓名的拉丁字母轉(zhuǎn)寫為何如此之長？縮略的習(xí)慣是什么？ 下一篇 【方向鍵 ( → )下一篇】

上一篇:績(jī)效考核在管理中的標(biāo)桿作用有多大？ 上一篇 【方向鍵 ( ← )上一篇】