Как понять, когда используется oauth

Question

Я пытаюсь понять, в каких сценариях я должен использовать oauth. От чтения spec я понимаю, что вы по сути делегируете идентификацию третьей стороне.

Так что, если мы возьмем страницу входа в систему в качестве примера StackOverflow, Вы автоматически получаете

oauth2 используется для Google и Facebook, как я могу определить, что StackOverflow использует (при вводе имени пользователя и пароля непосредственно)? Будет ли это также oauth 2? Если он использует oauth, как мне понять, какой поток они используют?

Answer 1

Ваш вопрос немного неясен, но я думаю, что вы спрашиваете, может ли SO или какой-либо другой сайт использовать oAuth для всех своих схем аутентификации. Они могли. Если они используют oAuth с аутентификацией пароля пользователя при аутентификации, ответ, который вы получите, должен иметь токен авторизации и токен обновления, который вы затем должны использовать для аутентификации при каждом последующем запросе. Надеюсь это поможет. oAuth не является технологией, это протокол о том, как сделать аутентификацию лучше.

Answer 2

Посмотрите, что это запрос URL при нажатии войти в систему с Gmail ...

https://accounts.google.com/ServiceLogin?passive=1209600&continue=https://accounts.google.com/o/oauth2/auth?client_id%3D717762328687-p17pldm5fteklla3nplbss3ai9slta0a.apps.googleusercontent.com%26scope%3Dprofile%2Bemail%26redirect_uri%3Dhttps://stackauth.com/auth/oauth2/google%26state%3D%257B%2522sid%2522:1,%2522st%2522:%2522e35d652c26ae7fad9b61f6176cc93f2eb9bbb240c32231bc95f8270176d7a5d5%2522,%2522ses%2522:%252291fdf487240d4fa38576f780ad448f55%2522%257D%26response_type%3Dcode%26from_login%3D1%26as%3D-8520e47ae71bbb4&oauth=1&sarp=1&scc=1#identifier

ли это auth2 означает oauth 2? Я так думаю

UPD: Насколько я понимаю, механизм OAuth поддерживается 3-й частью. SO может использовать свою собственную команду для прямого ввода или стандартную аутентификацию. Это до SO.

Answer 3

Чтобы держать его коротким и легким:

Если вы хотите добавить проверку подлинности в приложение, и вы хотите оставить некоторые heavilifting безопасности для крупных компаний, таких как Facebook, Google и StackOverflow это, как правило, хорошая идея, если вы не знаю точно, как обращаться с такой деликатной задачей и/или вы не используете конкретный инструмент/инфраструктуру Auth.

С другой стороны, с точки зрения пользователя приложение будет гораздо удобнее (только авторизация одним кликом, а не болезненная регистрация).

Если вы хотите гораздо более подробные технические объяснения, я предлагаю вам прочитать эту другую должность StackOverflow: OAuth 2.0: Benefits and use cases — why?