OAuth的安全?
我对于现下广大微薄开放API, 有那么一点点的疑问;
OAuth的安全到底指的是什么安全?
可能我对于OAuth认知还很有限的, 目前只实现了新浪和腾讯的AccessToken的获取, 进一步还未实现, 新浪微薄Java SDK看了一点, 写的还不错, 不知道哪位大牛写的.
我想问, OAuth是指不泄露用户信息就叫安全? 还是我们在传递信息的时候有签名, 对于我们的信息安全?
新浪API里面对应 OAuth认证的第二步, 是可以直接发送用户名密码的, 这点就违背了, 用户信息安全, 不过我喜欢; 腾讯里面, 用户名和密码是必须到腾讯网站才能输入, 授权的.
但我想问问, 发送用户名密码, 有必要非得跑到你腾讯的网站才能输入, 才能通过授权? 简简单单解析你的页面, 简简单单模拟发送一下用户名密码, 还是很轻松的.
所以,我否定OAuth对用户信息安全的看法.
对于第二点, 难道对于我们传递信息安全, 我比较认同. 但是中只是对于我们传过去的信息安全进行保障, 但对于传回来的信息呢? 不解!
OAuth到底是什么作用? 一种规范, 还是一种形式, 或者是一种太高身价的做作?
现在的技术,那个多啊,不过基础都一样; 就好像好好面粉, 非得做馒头, 包子, 饼, 面, 直接和一和, 煮熟了不就能吃了吗?
