OAuth utilizzato per la registrazione

0

Quando leggo e guardo video su Oath, si parla di poter accedere ai dati da altre applicazioni. Tuttavia, un uso comune di ciò che penso sia OAuth è semplicemente l'identificazione di un utente senza richiedere che abbia un id / pw per un sito. Non vedo che sia spiegato molto spesso però. Qual è il concetto alla base di tale processo?

Supponiamo che vi sia un sito web del forum che ti consente di accedere tramite il tuo account Google. Tutto quello che ottiene è il tuo nome e cognome e non devi mai creare una pw per quel sito in particolare perché passano attraverso il processo OAuth di google per identificarti. Come funziona quel processo? Quel sito memorizza qualche token sul loro db? È quel token specifico per l'utente e il tuo sito e non cambia mai in modo tale che ogni volta che effettuano l'accesso tramite google al tuo sito puoi semplicemente convalidare il token memorizzato nei tuoi siti DB rispetto a quello che gli ha dato google?

    
posta user441521 02.03.2018 - 15:36
fonte

1 risposta

1

OAuth riguarda principalmente la delega di autorizzazione. tu come utente, delegare i privilegi per eseguire alcune operazioni su una risorsa di tua proprietà, per conto di te.

Ad esempio, prendi in considerazione il caso d'uso, in cui tu come proprietario del conto bancario (proprietario della risorsa) hai un consulente finanziario (Client) per gestire il tuo conto bancario (il Bank è il server delle risorse). Ci sono 4 cose qui dentro:

  1. Bank (Resource Server) e il consulente finanziario dovrebbero avere una relazione di fiducia in base alla quale un consulente finanziario ha un clientID specifico e un segreto con i privilegi previsti per eseguire determinate attività per conto di un utente.
  2. Quando il consulente finanziario (client) tenta di eseguire un'operazione specifica per conto di te, il server delle risorse o un server di autorizzazione su cui la banca fa affidamento ti getterà una schermata di accesso. Una volta effettuato l'accesso, dovrebbe chiedere il consenso per consentire al consulente finanziario di eseguire l'operazione per te.
  3. In base al tuo consenso, il consulente finanziario riceve un token. In generale è un token di breve durata (valido per 15 minuti - 1 ora) a seconda del caso d'uso. Il token conterrà abbastanza informazioni che indicano che l'operazione può essere eseguita solo nel tuo account.
  4. Ora il consulente finanziario può utilizzare questo token per eseguire le operazioni autorizzate sul tuo conto bancario, per tuo conto senza che tu abbia la necessità di autorizzare ogni singola azione.
risposta data 14.01.2019 - 00:00
fonte

Leggi altre domande sui tag