मैंने इस विषय में अन्य प्रश्नों की खोज की लेकिन मुझे इसका जवाब देने का कोई जवाब नहीं मिला। तो मुझे बताओ कि मैं गलत हूं। मैं इस विषय में नया हूं और आप मुझे खुशी से सही कर सकते हैं। वास्तविक पल में मैं क्या सोचता हूं:ओएथ 2.0 बेयरर-टोकन्स बनाम मैक-टोकन्स। मैक-टोकन का उपयोग क्यों नहीं करते?
मैंने वेबसेक को अधिकृत करने के लिए कला की वास्तविक स्थिति क्या है, यह पता लगाने के लिए 2 दिनों के लिए वेब पर सर्फ किया। अब मुझे जल्दी पता चला कि ओएथ 2.0 सबसे आम मानक प्रतीत होता है। लेकिन OAuth 2.0 स्वयं मानकीकृत के अलावा सबकुछ है। मेरी दृष्टि से यह हर बड़ी कंपनी के लिए अलग-अलग अनुकूलन की गड़बड़ है। लेकिन वैसे भी प्राधिकरण जानकारी का आदान-प्रदान करने के लिए दो तकनीकें हैं: मैक-टोकन्स और बेयरर-टोकन्स।
मेरी राय में मैक-टोकन्स रास्ता अधिक सुरक्षा प्रदान करते हैं। तो यह व्यापक रूप से लागू क्यों नहीं किया जाता है? एकमात्र कारण मुझे मिल सकता है क्योंकि यह थोड़ा और जटिल है। और मैंने कई बार सुना है कि मैक-टोकन्स की अनुशंसा नहीं की जाती है, अगर ग्राहक 100% भरोसेमंद नहीं है, क्योंकि ग्राहक को रहस्य संग्रह करना है। लेकिन अंतर कहां है? ग्राहक को वैसे भी एक प्राधिकरण-सूचना स्टोर करना है। मेरी राय में यह कोई फर्क नहीं पड़ता यह एक भालू-टोकन या एक मैक-गुप्त wheter। लेकिन एक अंतर बनाता है यह है कि मैयर-राइट (भालू-टोकन के बजाय) प्रत्येक अनुरोध पर तार पर सबमिट नहीं किया गया है।
तो क्या आप मुझे एक सौहार्दपूर्ण कारण बता सकते हैं क्यों मैक-टोकन का उपयोग नहीं करते? (एक और अधिक प्रयास करने के अलावा) क्या मुझे कुछ याद आ रही है? या मैंने दो टोकन तकनीकों को गलत समझा है।
पढ़ने और आपकी सहायता के लिए धन्यवाद।
हां मैं बिल्कुल तुम्हारे साथ हूं। आप एसएसएल/टीएलएस के बिना भी नहीं कर सकते हैं वैसे भी यह सिर्फ गैर-व्यावसायिक होगा। मुझे लगता है कि आप सही हैं, इसका उपयोग अभी नहीं किया गया है क्योंकि यह अधिक जटिल है। क्योंकि मैक-टोकन हर पहलू में अधिक सुरक्षित है। कोई फर्क नहीं पड़ता कि आप ग्राहक पर भरोसा कर सकते हैं या नहीं। – Daniel