Oauth

4,899 views

Published on

Published in: Education
0 Comments
5 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
4,899
On SlideShare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
75
Comments
0
Likes
5
Embeds 0
No embeds

No notes for slide

Oauth

  1. 1. OPEN AUTHENTICATION Componenti: Favero Enrico Tomasella Mauro
  2. 2. Che Cos’è? OAuth è un protocollo di autenticazione che permette di delegare applicazioni o Siti Web ad accedere a dati custoditi presso un certo servizio Web, senza però dover fornire le credenziali di accesso dell’utente a tale Servizio. - è una combinazione standardizzata di protocolli già in uso (Google AuthSub, Yahoo BBAuth, Flickr API, Amazon Web Services API). - ha un suo metodo personale per scambiare le credenziali dell'utente ed i permessi. - è stato creato sulla base di uno studio di questi protocolli, estrapolandone i punti forti, al fine di sostituirli o migliorarli.
  3. 3. Storia L’ idea dell’ OAuth nasce nel Novembre 2006, mentre Blaine Cook e Larry Halff stavano lavorando rispettivamente all'implementazione di Twitter OpenID e Ma.gnolia Dashboard Widgets. Incontrandosi con altri al meeting “CitizenSpace OpenID” arrivarono alla conclusione che non esisteva uno standard open per delegare l'accesso alle API. Nell'Aprile 2007, fu creato un Google group con un piccolo numero di programmatori e saltò fuori che il problema non riguardava solamente l'OpenID. Nel Giugno 2007 venne conclusa una prima bozza con le specifiche iniziali e il gruppo fu aperto a chiunque voleva contribuire. Il 3 Ottobre 2007 fu rilasciata la bozza finale dell'OAuth Core 1.0.
  4. 4. OAuth e OpenID OAuth non è un'estensione dell'OpenID, ne condivide solo alcuni elementi. OAuth ha lo scopo di dare all'utente un servizio per condividere solo quello che è intenzionato a condividere. OpenID ha lo scopo di controllare che l'utente sia veramente chi dice di essere. Se dipendesse dall'OpenID, solo i servizi OpenID potrebbero usarlo, e per quanto OpenID sia ben sviluppato, ci sono molte applicazioni su cui non è possibile utilizzarlo. Questo però non vuol dire che non possano essere usati insieme.
  5. 5. Il Parcheggiatore Molte auto di lusso oggi hanno in dotazione una chiave supplementare per il parcheggiatore, che limita l'utilizzo dell'auto. Queste chiavi dopo due chilometri bloccano la macchina. Alcune anche il bagagliaio, il telefono integrato e il computer di bordo. L'idea è molto interessante: si dà un accesso limitato all'auto con una chiave speciale mentre ci si tiene una chiave normale per avere il controllo completo. OAuth funziona esattamente in questo modo.
  6. 6. Terminologia Service Provider: è il sito o servizio web all’interno del quale le risorse protette (Protected Resources) sono memorizzate. User: OAuth è un servizio per l'utente e senza di esso non esisterebbe. Lo user ha delle risorse che non vuole rendere pubbliche ma allo stesso tempo vuole condividere con un altro sito.. Consumer: è un nome inventato per l'applicazione che cerca di accedere alle risorse dello User. Può essere un sito web, un programma, un dispositivo mobile, o qualsiasi altra cosa connessa al web. Risorse Protette: gli oggetti che OAuth tutela, sui quali concede accesso e permessi. Token: Questi “gettoni” sono utilizzati in alternativa alle credenziali degli utenti.
  7. 7. Authentication flow
  8. 8. Authentication flow II
  9. 9. Authentication flow III
  10. 10. Authentication flow IV
  11. 11. Authentication flow V
  12. 12. Security Architecture OAuth utilizza un sistema di firme digitali per non dover trasmettere credenziali non divulgabili come login e password. Per garantirne la sicurezza nella firma digitale sono contenuti: - Shared Secret - Nonce (number used once) - Timestamp (data, ora)

×