OAuth

最近這兩個星期斷斷續續花了一些時間看 oauth 的 Spec。先簡單瞄了一下作者群：

• Mark Atwood (me@mark.atwood.name)
• Richard M. Conlan (zeveck@google.com)
• Blaine Cook (blaine@twitter.com)
• Leah Culver (leah@pownce.com)
• Kellan Elliott-McCrea (kellan@flickr.com)
• Larry Halff (larry@ma.gnolia.com)
• Eran Hammer-Lahav (eran@hueniverse.com)
• Ben Laurie (benl@google.com)
• Chris Messina (chris@citizenagency.com)
• John Panzer (jpanzer@acm.org)
• Sam Quigley (quigley@emerose.com)
• David Recordon (david@sixapart.com)
• Eran Sandler (eran@yedda.com)
• Jonathan Sergent (sergent@google.com)
• Todd Sieling (todd@ma.gnolia.com)
• Brian Slesinsky (brian-oauth@slesinsky.org)
• Andy Smith (andy@jaiku.com)

真是各路人馬都到位了。摘要如下：

• 與 flickr API 所呈現出的概念十分相似。
• 使用者可以因此在各處操作自已的資產，卻不需提供存取資產所需的機密資料
• 資產：如 flickr 上的照片
• 各處：如 hypoDot，hypoDot 可讀取使用者在 flickr 上的照片
• 存取資產所需的機密資料：使用者的 flickr 帳號與密碼
• 名詞（自譯）
• 使用者(User)：將個人資產放在提供商系統上管裡的人
• 提供商(Service Provider)：存放使用者資產的系統。
• 消費商(Consumer)：欲操作儲存在提供商之使用者資產的系統
• Auth 同時表示 Authentication 與 Authorization
• Spec 內容主要著重於：提供商與消費商之間如何進行交易，在經過使用者同意、認可（Authorize）的前提之下，讓消費商可以不必知道使用者的登入資訊 (Credentials)，便能存取其資產。
• 此三方交易的實做細節定義在 HTTP 之上。但其實不必限制於網站應用程式。
• 與 OpenID 解決的問題不同，也不類似。（名稱上倒是有點容易造成誤解）
• OpenID：讓大家知道你是誰
• OAuth：讓你能在各處使用你自已的資產（Auth means both Authorize and Authentication)
• 消費商不必知道你的帳號，它也不必知道你是誰。它只是要用你的資料而已。
• 與其他「遠端登入」系統也不一樣（如 TypePad、Google Auth） 也不一樣。理由同前。
• 在實做方面，倒是與 OpenID / TypePad / Google Auth 類似。提供商與消費商兩方要經過數次交易，交換一些機密。不同的只有最後拿到的資料，OAuth 的消費商不會需要知道使用者的帳號，但其他三者就是要知道使用者的帳號。

而 Perl 模組已經有了，近期的修改似乎也很積極，不過沒有文件：http://search.cpan.org/dist/Net-OAuth/

怎麼說呢，有點像是，咖啡店的熟客，因為混熟了，自然會有些特權，熟客介紹來的新客，只要報上熟客的大名，就可以暫時享有部份特權...

Labels: auth, cafe, oauth, perl