OAuth वास्तविक डेटा संग्रहीत किए बिना लॉगिन डेटा रखने के लिए अनुप्रयोगों का एक वैकल्पिक तरीका है।
जब आप किसी पृष्ठ में लॉग इन करते हैं, तो आपके पास आमतौर पर उपयोगकर्ता नाम और व्यक्तिगत पासवर्ड या किसी अन्य प्रकार के लॉगिन प्रमाण-पत्र होते हैं। अब, यदि आप चाहते हैं कि कोई एप्लिकेशन उस लॉगिन पर सामान करने में सक्षम हो, तो आपको उस एप्लिकेशन को अपना मूल लॉगिन डेटा देना होगा। जिसका अर्थ है कि आप एप्लिकेशन में अपना उपयोगकर्ता नाम और अपना पासवर्ड दोनों दर्ज करते हैं। यह अब तक बुरा नहीं है, लेकिन बात यह है कि यदि आप उस एप्लिकेशन के माध्यम से लॉग इन रहना चाहते हैं, तो इसे आपके क्रेडेंशियल्स को स्टोर करने की आवश्यकता है। लेकिन वास्तविक पृष्ठ पर सही लॉगिन डेटा भेजने के लिए, इसे अपने मूल रूप में स्टोर करने की आवश्यकता है (बस कुछ एन्क्रिप्शन या कुछ के साथ)। इसलिए यदि कोई जानता है कि एप्लिकेशन में डेटा कैसे संग्रहीत किया जाता है, तो वे आपके मूल लॉगिन प्रमाण-पत्र निकाल सकते हैं।
यह एक सुरक्षा समस्या है और ठीक है जहां ओएथ आता है। ओएथ के साथ, प्रत्येक एप्लिकेशन को उपभोक्ता कुंजी और उपभोक्ता रहस्य द्वारा पहचाना जाता है। दोनों ग्राहक के लिए अद्वितीय हैं और आम तौर पर कोई भी उपयोगकर्ता कभी उन लोगों को नहीं देख पाएगा (विशेष रूप से गुप्त नहीं)। अब जब आप अपने एप्लिकेशन को पृष्ठ तक पहुंचने की अनुमति देना चाहते हैं, तो आप ओथ प्राधिकरण प्रक्रिया शुरू करते हैं। आप बस पृष्ठ पर लॉगिन करते हैं और को स्पष्ट रूप से अनुमति देते हैं कि विशेष एप्लिकेशन (उपभोक्ता कुंजी द्वारा पहचाना गया) पहुंच प्राप्त करने के लिए। यदि आप ऐसा करते हैं, तो एप्लिकेशन को एक और महत्वपूर्ण जोड़ी, पहुंच टोकन और गुप्त रहस्य प्राप्त होगा। वह कुंजी जोड़ी केवल आपके खाते के लिए काम करती है और केवल सटीक एप्लिकेशन (उपभोक्ता कुंजी द्वारा पहचाना गया, और उपभोक्ता रहस्य द्वारा मूल ऐप होने के लिए सुरक्षित) द्वारा उपयोग की जाती है। अब सभी एप्लिकेशन को स्टोर करने की आवश्यकता है कि एक्सेस की जोड़ी (पहले से संग्रहीत उपभोक्ता कुंजी जोड़ी के साथ) और इसके बिना आपके मूल लॉगिन डेटा को देखे बिना पृष्ठ तक पहुंच होगी।
इस तरह, कोई भी आपका वास्तविक लॉगिन विवरण प्राप्त करने में सक्षम नहीं होगा, और कोई भी अन्य (या कोई अन्य एप्लिकेशन) पृष्ठ तक पहुंचने के लिए जेनरेट किए गए एक्सेस क्रेडेंशियल का उपयोग करने में सक्षम नहीं होगा। और यदि आप नहीं चाहते कि एप्लिकेशन अभी भी एक्सेस हो, तो आप एक्सेस कुंजी जोड़ी को आसानी से निरस्त कर सकते हैं, ताकि एप्लिकेशन अब इसका उपयोग करने में सक्षम न हो।
तो ओएथ आपके वास्तविक लॉगिन डेटा की रक्षा करने का एक तरीका है। इसके अलावा इसमें कोई अन्य स्तर की सुरक्षा या कुछ भी शामिल नहीं है, यह केवल को अपने डेटा को सुरक्षित करने के लिए है।
यह अलग-अलग छोड़कर ओपनआईडी की तरह है। यह पोस्ट इसे अच्छी तरह से समझाता है: http://softwareas.com/oauth-openid-youre-barking-up-the-wrong-tree-if-you-think-theyre-the-same-thing –
यदि कॉल OAuth "सरल "उन्हें HTTP मूल प्रमाणीकरण का प्रयास करना चाहिए। –