最新消息:网站改版咯

开放平台验证授权技术

Web技术 Yovae 888浏览

1. 服务整合,大势所趋

如果在前几年,将不同公司提供的多种服务整合在一起提供给用户,还是一个稀罕事。而如今,互联网服务之间的整合已经由新奇事物慢慢成为主流。

举个简单的例子,如果你是个微博达人,同时具有人人网、开心网、新浪微博、搜狐微博等多个SNS和微博帐号,有时候你想表达一个观点并把这个信息发布到所有这些网站,那么悲剧了,你需要不厌其烦地分别登录各家网站并采用拷贝粘贴的方式一一发布。不过现在好了,你只要使用一个叫“微博通”的客户端,就可以一次操作将信息同步到所有网站了。这个“微博通”就是个第三方应用,它整合了所有这些SNS和微博网站的服务。

实际上,互联网服务之间整合的大趋势,已经为互联网从业者提供了越来越多的创业机会。既然有现成的服务可以利用,你为何要从零开始呢?

2. 安全的保障——验证与授权

如果没有开放平台提供的服务,类似“微博通”这样的第三方能否实现上述功能呢?也可以!下面以人人网作为开放平台方进行论述。我们可以设想,用户将自己的人人网帐号和密码告知微博通,存储在微博通的服务器上。当用户通过微博通发送状态并同步回人人网时,微博通的服务器就可以利用人人网的帐号和密码来模拟用户进行操作了。

但是,这种方式存在着严重的安全问题:

(1) 用户的帐号和密码完全暴露在第三方服务提供商面前。这样第三方就可以代替用户做任何事情,甚至包括修改用户的密码,将用户的帐号据为己有。

(2) 第三方的技术缺陷带来的安全隐患。即使这个第三方是我们高度信任的,不会主动作恶,但还是难以避免由于第三方本身技术原因带来的安全隐患。如第三方服务器发生信息泄露,那么上面存储的人人网的这些帐号信息也就危险了。而且这样的安全隐患是我们完全不可控的。

(3) 授权无法限制和回收。我们无法限制第三方的操作权限范围,如我们无法做到只允许第三方代替用户修改状态而不允许修改用户个人资料,而这恰恰是用户关心的隐私问题。另外,如果我们想把权限从第三方收回,也没有任何好的办法,那就只能让每个用户自己修改密码了。

为了解决这些问题,我们就需要提供一种安全的方式来便于第三方整合人人网的服务,这就是开放平台要做的事情。而这其中的关键便是验证和授权技术。

所谓验证,英文词汇叫“authentication”,就是识别出你是谁。这包含两种类型的验证:一个是对于用户的验证,即识别出你是用户A还是用户B;第二个是对于第三方服务器的验证,即识别出一个服务器请求是“小小战争”发出的还是“Q将三国”发出的。

所谓授权,英文词汇叫“authorization”,就是用户对第三方授予某种操作权限,允许第三方在一定范围内代替用户进行操作。例如,用户授予微博通一个“发布状态”的权限,从而允许微博通代表用户修改他的人人网状态。关键在于,用户如果不同意授权给第三方应用,那么第三方应用的行为就没有机会侵犯到用户的隐私。

总之,验证和授权是开放平台的一道大门,它在保护用户隐私、确保调用安全方面起着重要的作用,这也就是它为什么在开放平台技术体系中显得那么重要的原因了。

转载请注明:Yovae Studio » 开放平台验证授权技术