Diskussion:OAuth

aus Wikipedia, der freien Enzyklopädie

Sicherheitsfehler

im Test steht, dass der Sicherheitsfehler 2003 entdeckt wurde obwohl es OAuth anscheinend erst ab 2006 gibt. Kenne mich mit der Thematik nicht aus. Nur als kleiner Hinweis (nicht signierter Beitrag von 89.245.21.178 (Diskussion | Beiträge) 16:42, 1. Jul 2009 (CEST))

Autorisierung vs. Authentication

Im englischen Artikel zu OAuth steht "Cook, Chris Messina and Larry Halff from Ma.gnolia met with David Recordon to discuss using OpenID with the Twitter and Ma.gnolia APIs to delegate authentication."

Der deutsche Artikel ist in diesem Abschnitt scheinbar eine direkte Übersetzung. Hier steht: "Deshalb trafen sich Blaine Cook, Chris Messina und Larry Halff von Ma.gnolia mit David Recordon, um die Verwendung von OpenID mit den APIs von Twitter und Ma.gnolia für die Delegation der Autorisierung zu diskutieren."

Der Teil "to delegate authentication" kann nicht mit "Delegation der Autorisierung" übersetzt werden. Wörtlich übersetzt wäre "Delegation der Authentifizierung" richtig. Bei OAuth geht es grundsätzlich um Autorisierung und Authentifizierung.

Siehe zum Beispiel: http://www.duke.edu/~rob/kerberos/authvauth.html (nicht signierter Beitrag von 95.117.114.8 (Diskussion) 18:47, 8. Jan. 2011 (CET))

Unverständlich ausgedrückt

Es geht um den zweiten Teil dieses Satzes: "Um es vor Missbrauch zu schützen soll es schwer zu erraten und passend zu einer Sicherheitsabfrage sein." In dem Satz geht es um den Token. Ich kann verstehen, warum er schwer zu erraten sein soll, aber was ist damit gemeint, dass der Token "passend zu einer Sicherheitsabfrage sein" soll?

QS-Antrag

Ich verstehe den gesamten Inhalt nicht so ganz. Kann den mal jemand in die QS schieben? --188.99.239.52 15:03, 25. Apr. 2012 (CEST)

Unterschied zu OpenID

Der Artikel sollte erwähnen, dass OAuth eine funktionelle Erweiterung von OpenID ist. --Broeni (Diskussion) 10:02, 8. Okt. 2012 (CEST)

Ist dem wirklich so? OpenID verfolgt doch eigentlich einen eigenen Ansatz der Authentifizierung, während OAuth primär die Authorisierung betrachtet. OAuth kann auch gänzlich ohne OpenID auskommen oder aber mit einer vollkommen anderen Struktur der Authentifizierung. Der Punkt ist, dass OpenId rein fachlich betrachtet auf OAuth aufsetzt. Ob man nun OpenID2.0 oder OpenID Connect 1.0 verwendet, ist dem OAuth-Protokoll letztlich egal, da die Flows in beiden Fällen relativ ähnlich sind.

So, und wie funktioniert das nun?

Das wird im Artikel gar nicht wirklich erklärt. Das hätte doch einen eigenen Abschnitt verdient, inclusive Grafiken, die veranschaulichen: Wer wann mit wem wie kommuniziert. Oder sehe ich das falsch? --RokerHRO (Diskussion) 10:48, 8. Okt. 2012 (CEST)

+1 Bebilderung wäre hier wünschenswert und das mein Schaubilder und Grafiken, die illustrieren und erklären... --Crosby Newton (Diskussion) 12:19, 24. Nov. 2013 (CET)

Aufsplitten: OAuth 1.0 und OAuth 2.0

OAuth 2.0 ist ein völlig anderes Protokoll als OAuth 1.0; es kennt andere Rollen, andere Sicherheitsmechanismen, ist anders entstanden und hat andere Sicherheitsprobleme. Außer dem gemeinsamen Namen und dem gemeinsamen Ziel haben die Protokolle kaum etwas gemein.

Bei vielen der Abschnitte im Artikel ist unklar, ob sie sich auf 1.0 oder 2.0 beziehen. 1.0 spielt heute keine große Rolle mehr (es wird noch bei Twitter eingesetzt). 2.0 ist heute der de-facto Standard für verteilte Autorisierung und wird (als Basis von OpenID Connect) von den meisten großen Internetdiensten genutzt. Mein Vorschlag: OAuth 2.0 und 1.0 in zwei Artikel separieren. Alternativ: Diesen Artikel umbenennen in OAuth 2.0 und im Abschnitt "Geschichte" kurz über 1.0 sprechen. --Webhamster (Diskussion) 09:26, 27. Mär. 2019 (CET)