oauth在图书馆的应用.ppt.pptVIP

厦门大学图书馆技术部 肖铮 ;OAuth介绍 利用OAuth实现第三方账号在图书馆系统的登录 基于OAuth的应用扩展 ;Open Authentication OAuth是一个开放标准 OAuth协议为用户资源的授权提供了一个安全的、开放而又简易的标准。;随着Web服 务的增多，用户希望这些服务能够协同工作来满足新的需求。没有任何一个站点可以完美地满足用户的所有需求，用户可以使用一个站点保存照片，一个存放视频， 一个收发邮件等等。为了实现这种整合，一个站点需要访问另一个站点的用户资源，而这些资源经常是受保护的（家庭照片、工作文档、银行记录）。他们需要一个 能进入这些站点的授权。 一个实例：Basic Auth要求Twitter应用把用户名和口令直接附加在HTTP或HTTPS协议头中发送给Twitter API。这样，Twitter应用势必要求用户在其应用中输入自己的Twitter用户名和口令，从而可以把Twitter的用户名和口令附加??? HTTP(S)协议中发送给Twitter。这样Twitter应用开发者就能知道使用了他的Twitter应用的用户的所有用户名和密码，这样开发者就 能随意使用这些Twitter账号登陆Twitter做任何操作了。比如，可以修改用户的Twitter密码，甚至直接去Twitter的 Settings中删除这个帐号。这将带来潜在的安全性题。 ;2007年12月4日发布了OAuth Core 1.0： 此版本的协议存在严重的安全漏洞：OAuth Security Advisory: 2009.1，更详细的介绍可以参考：Explaining the OAuth Session Fixation Attack。 2009年6月24日发布了OAuth Core 1.0 Revision A： 2010年4月，OAuth 1.0协议发表为RFC 5849，一个非正式RFC。 目前，OAuth2.0协议是OAuth的下一个全新版本，与OAuth1.0并不兼容，目前还不稳定。OAuth 2.0能够同时支持“Web应用、桌面应用、移动终端、家庭设备”等等。OAuth 2.0将成为未来开放平台领域标准的授权协议，并且随着技术发展，这将不仅仅是一个简单的协议，而会成为一个解决各种环境下授权问题的标准的协议族。 ;Service Providers（服务提供方）：拥有某些需要授权才能使用的API的一方 Consumers（应用程序方）：希望使用API的一方 Users（最终用户）：资源的拥有者 ;Twitter，Google，Facebook， Flickr，MSN， Foursquare …… Sina，QQ，人人，豆瓣，网易，百度，天涯，淘宝，Sohu，开心网…… ;图书馆是否需要OAuth？ 图书馆如何应用OAuth？;新浪微博要求所有的OAuth请求都使用HMAC-SHA1算法生成签名。 关于具体技术细节可参加/wiki/Oauth ;sina绑定数：342 qq绑定数：256 renren绑定数：174;与现有系统账号的绑定处理流程 使用SDK ;广播借阅信息 私信超期提醒 ……; 肖 铮 zhx@