Episode 30 – OAuth, OAuth WRAP und OAuth 2

Eine kleine Einführung in OAuth 2. Wem OAuth bisher kein Begriff ist, der kann sich ja nochmal Episode 3 anhören.

Länge: 0h54m40s (48.5 MB), Download MP3

Viel Spaß beim hören :)

OAuth 2 Draft: http://www.ietf.org/id/draft-ietf-oauth-v2-05.txt Einführung: http://hueniverse.com/2010/05/introducing-oauth-2-0/

Warum OAuth 2.0?

  • Probleme mit mobilen Applikationen
  • Probleme mit Javascript-Applikationen
  • Problem mit Architektur, da nur peer-to-peer
  • Signature Base String zu kompliziert

Die Geschichte

OAuth WRAP

OAuth WRAP - ein Versuch, es neu machen, zunächst unter anderem Namen, dann unter OAuth fliesst in OAuth 2.0 ein

OAuth 2.0

  • Nicht kompatibel zu OAuth 1.0
  • Es wird nur optional signiert (dann aber nur per SSL)
  • Nicht nur 1 Flow sondern mehrere. Gemeinsamkeit: Es kommt ein Access-Token hinten raus
  • Es gibt ein Refresh Token
  • Der Aufruf von “protected Resources” ist immer gleich.
  • erweiterte Architektur

Terminologie

  • resource server
  • protected resource
  • client
  • resource owner
  • authorization server
  • access token
  • bearer token

Die Flows

  • User-Agent Flow
  • Web Server Flow
  • Device Flow
  • Username and Password Flow
  • Client Credential Flow
  • Assertion Flow