Hi,
ich wollte mal fragen ob es moeglich ist neben dem Losepasswort auch eine OAuth [1] autorisierung zu implementieren auf Klamm. Es ist mir als Seitenbetreiber immer unheimlich die Losepasswoerter der Benutzer zu kennen, und auch die Zeitlich limitierten Passwoerter sind nur eine leichte verbesserung da die Benutzer damit ziemlich in der Gegend rumgeschickt werden.
Mit OAuth ist es moeglich fuer jeden Consumer (die Klammseiten im Netz denen normalerweise das Losepasswort gegeben wird) ein geteiltes Passwort (Access Token) mit Klamm.de (dem Service Provider) zu erstellen, dass dann vom Benutzer abgesegnet wird (so nach dem Motto: ja die Seite kenne ich und sie darf auf meine Daten zugreifen), danach kann der Consumer das Passwort verwenden um Transaktionen im Namen des Benutzers auf Klamm.de auszufuehren.
Sollte der Benutzer dem Consumer (Seite) nicht mehr trauen oder einfach um uebersicht zu behalten, kann das Access Token als ungueltig erklaert werden und der Consumer hat keine Zugriffsrechte mehr auf die Daten des Benutzers auf Klamm.
Was das im Endeffekt bringt:
Keine Ahnung wie der Vorschlag unter meinen Programmierkollegen gesehen wird, aber ich denke wenn Facebook, Google, Twitter und viele mehr auf OAuth vertrauen, wieso sollte es dann nicht auch hier funktionieren?
Gruss,
Snyke
[1] https://oauth.net/
ich wollte mal fragen ob es moeglich ist neben dem Losepasswort auch eine OAuth [1] autorisierung zu implementieren auf Klamm. Es ist mir als Seitenbetreiber immer unheimlich die Losepasswoerter der Benutzer zu kennen, und auch die Zeitlich limitierten Passwoerter sind nur eine leichte verbesserung da die Benutzer damit ziemlich in der Gegend rumgeschickt werden.
Mit OAuth ist es moeglich fuer jeden Consumer (die Klammseiten im Netz denen normalerweise das Losepasswort gegeben wird) ein geteiltes Passwort (Access Token) mit Klamm.de (dem Service Provider) zu erstellen, dass dann vom Benutzer abgesegnet wird (so nach dem Motto: ja die Seite kenne ich und sie darf auf meine Daten zugreifen), danach kann der Consumer das Passwort verwenden um Transaktionen im Namen des Benutzers auf Klamm.de auszufuehren.
Sollte der Benutzer dem Consumer (Seite) nicht mehr trauen oder einfach um uebersicht zu behalten, kann das Access Token als ungueltig erklaert werden und der Consumer hat keine Zugriffsrechte mehr auf die Daten des Benutzers auf Klamm.
Was das im Endeffekt bringt:
- Keine Passwoerter an andere Seiten anvertrauen
- Access Tokens koennen mit gewissen Rechten behaftet werden (also kontostand einsehen aber nichts daran veraendern, oder voller zugriff, oder jeder moegliche Mix)
- der Benutzer hat eine uebersicht von wo was ausgefuehrt wird, wer welche Rechte hat und kann diese auch entziehen
Keine Ahnung wie der Vorschlag unter meinen Programmierkollegen gesehen wird, aber ich denke wenn Facebook, Google, Twitter und viele mehr auf OAuth vertrauen, wieso sollte es dann nicht auch hier funktionieren?
Gruss,
Snyke
[1] https://oauth.net/