Oauth

foto, video, daftar alamat) yang disimpan di suatu situs web dengan situs lain tanpa perlu menyerahkan nama pengguna dan kata sandi mereka. Proses ini dilakukan dengan memberikan token, bukan nama pengguna dan kata sandi, untuk data mereka yang diinangi oleh suatu penyedia jasa tertentu. Setiap token memberikan akses untuk suatu situs spesifik (mis. suatu situs penyunting video) terhadap suatu sumber spesifik (mis. hanya video dari album tertentu) selama durasi tertentu (mis. dua jam ke depan).

OAuth mengizinkan seorang mengguna untuk memberikan akses kepada situs pihak ketiga untuk mengakses informasi mereka yang disimpan di penyedia layanan lain tanpa harus membagi izin akses atau keseluruhan data mereka. Cara kerjanya kurang lebih mirip dengan menggunakan kartu kredit dan menandatangani slip transaksi, alih-alih memberikan kartu ATM dan PIN-nya.

Masalah keamanan

OAuth 1.0

Pada 23 April 2009, sebuah kelemahan keamanan fiksasi sesi dalam protokol 1.0 diumumkan. Itu mempengaruhi arus otorisasi OAuth (juga dikenal sebagai "3-legged OAuth") indi OAuth Core 1.0 Bagian 6. Version 1.0a dari protokol OAuth Core dikeluarkan untuk mengatasi masalah ini.

OAuth 2.0

Pada Januari 2013, Internet Engineering Task Force mempublikasikan sebuah model ancaman untuk OAuth 2.0. Di antara ancaman yang diuraikan ada satu yang disebut "Open Redirector"; pada awal tahun 2014, variannya dijelaskan dengan nama "Covert Redirect" oleh Wang Jing.

Dalam draf OAuth 2.1, penggunaan ekstensi PKCE untuk aplikasi asli telah direkomendasikan untuk semua jenis klien OAuth, termasuk aplikasi web dan klien rahasia lainnya untuk menghindari ekstensi browser berbahaya yang melakukan serangan injeksi kode OAuth 2.0.

Penggunaan

Graph API Facebook hanya mendukung OAuth 2.0. Google mendukung OAuth 2.0 sebagai mekanisme otorisasi yang direkomendasikan untuk semua APInya. Microsoft juga mendukung OAuth 2.0 untuk berbagai API dan layanan Azure Active Directory-nya, yang digunakan untuk mengamankan banyak API Microsoft dan pihak ketiga.

OAuth dapat juga digunakan sebagai mekanisme otorisasi untuk mengakses umpan RSS/Atom yang aman. Akses menuju umpan RSS/ATOM yang memerlukan autentikasi selalu menjadi masalah. Sebagai contoh, sebuah umpan RSS dari sebuah Google Site yang aman tidak dapat diakses menggunakan Google Reader. Sebaliknya, OAuth berlapis tiga akan digunakan untuk mengotorisasi klien RSS tersebut untuk mengakses umpan dari Situs Google.

Referensi

oauth.com
oauth.net
(Inggris) OAuth WG di IETF
(Inggris) Google OAuth & Federated Login Research
(Inggris) Yahoo! OAuth Quick Start Guide

This article uses material from the Wikipedia Bahasa Indonesia article OAuth, which is released under the Creative Commons Attribution-ShareAlike 3.0 license ("CC BY-SA 3.0"); additional terms may apply (view authors). Konten tersedia di bawah CC BY-SA 4.0 kecuali dinyatakan lain. Images, videos and audio are available under their respective licenses.
®Wikipedia is a registered trademark of the Wiki Foundation, Inc. Wiki Bahasa Indonesia (DUHOCTRUNGQUOC.VN) is an independent company and has no affiliation with Wiki Foundation.