1 / 21

OAuth 在图书馆的应用

OAuth 在图书馆的应用. 厦门大学图书馆技术部 肖铮. OAuth 在图书馆的应用. OAuth 介绍 利用 OAuth 实现第三方账号在图书馆系统的登录 基于 OAuth 的应用扩展. OAuth 是什么. Open Authentication OAuth 是一个开放标准 OAuth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准。. OAuth 产生的背景.

lorne
Download Presentation

OAuth 在图书馆的应用

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. OAuth在图书馆的应用 厦门大学图书馆技术部 肖铮

  2. OAuth在图书馆的应用 • OAuth介绍 • 利用OAuth实现第三方账号在图书馆系统的登录 • 基于OAuth的应用扩展

  3. OAuth是什么 • Open Authentication • OAuth是一个开放标准 • OAuth协议为用户资源的授权提供了一个安全的、开放而又简易的标准。

  4. OAuth产生的背景 • 随着Web服 务的增多,用户希望这些服务能够协同工作来满足新的需求。没有任何一个站点可以完美地满足用户的所有需求,用户可以使用一个站点保存照片,一个存放视频, 一个收发邮件等等。为了实现这种整合,一个站点需要访问另一个站点的用户资源,而这些资源经常是受保护的(家庭照片、工作文档、银行记录)。他们需要一个 能进入这些站点的授权。 • 一个实例:Basic Auth要求Twitter应用把用户名和口令直接附加在HTTP或HTTPS协议头中发送给Twitter API。这样,Twitter应用势必要求用户在其应用中输入自己的Twitter用户名和口令,从而可以把Twitter的用户名和口令附加在 HTTP(S)协议中发送给Twitter。这样Twitter应用开发者就能知道使用了他的Twitter应用的用户的所有用户名和密码,这样开发者就 能随意使用这些Twitter账号登陆Twitter做任何操作了。比如,可以修改用户的Twitter密码,甚至直接去Twitter的 Settings中删除这个帐号。这将带来潜在的安全性题。

  5. OAuth的版本 • 2007年12月4日发布了OAuth Core 1.0: • 此版本的协议存在严重的安全漏洞:OAuth Security Advisory: 2009.1,更详细的介绍可以参考:Explaining the OAuth Session Fixation Attack。 • 2009年6月24日发布了OAuth Core 1.0 Revision A: • 2010年4月,OAuth 1.0协议发表为RFC 5849,一个非正式RFC。 • 目前,OAuth2.0协议是OAuth的下一个全新版本,与OAuth1.0并不兼容,目前还不稳定。OAuth 2.0能够同时支持“Web应用、桌面应用、移动终端、家庭设备”等等。OAuth 2.0将成为未来开放平台领域标准的授权协议,并且随着技术发展,这将不仅仅是一个简单的协议,而会成为一个解决各种环境下授权问题的标准的协议族。

  6. OAuth中的三种角色 • Service Providers(服务提供方):拥有某些需要授权才能使用的API的一方 • Consumers(应用程序方):希望使用API的一方 • Users(最终用户):资源的拥有者

  7. OAuth工作流程

  8. OAuth应用现状 • Twitter,Google,Facebook, Flickr,MSN, Foursquare …… • Sina,QQ,人人,豆瓣,网易,百度,天涯,淘宝,Sohu,开心网……

  9. OAuth在图书馆的应用 • 图书馆是否需要OAuth? • 图书馆如何应用OAuth?

  10. Sina微博账号登录

  11. Sina微博账号登录技术实现

  12. Sina微博账号OAuth流程图

  13. Sina微博账号OAuth技术细节 • 新浪微博要求所有的OAuth请求都使用HMAC-SHA1算法生成签名。 • 关于具体技术细节可参加http://open.weibo.com/wiki/Oauth

  14. 图书馆账号与Sina微博账号的关联

  15. 通过Sina微博OAuth获取微博账号

  16. 绑定Sina微博账号与图书馆账号

  17. 成功绑定后,可使用微博账号登录

  18. 使用效果 • sina绑定数:342 • qq绑定数:256 • renren绑定数:174

  19. 开发心得 • 与现有系统账号的绑定处理流程 • 使用SDK

  20. 使用Sina微博API还可以…… • 广播借阅信息 • 私信超期提醒 • ……

  21. 谢谢 肖 铮 zhx@xmulib.org

More Related