Code — OAuth. OAuth на практике. Аутентификация и авторизация пользователей сайта через популярные социалки. Думаю, не мне одному чрезвычайно надоели ресурсы, требующие регистрации по каждому поводу и без.
С обязательной капчей, которая правильно введется только с пятого раза, с подтверждением по е-мейлу, которое обязательно свалится в спам и то — только через сутки. Придумывать каждый раз новую пару логин-пароль — забудется, вводить одно и то же на всех сайтах — небезопасно. Местами прокатывают пары вида «qwerty:qwerty» или «login:password», но, увы, далеко не везде. Безопасность OAuth2. Данная блогозапись на хабр прежде всего обусловлена появлением «Ключницы» — хороший повод связатьиперевестинакопленное.
У нас в программе: вольный пересказ спек OAuth2, слабые стороны и Threat Model, 0day на хабретрюк с аутенфикацией. OAuth2 это просто Длинный, но правильный путь изучить его. Для ленивых я опишу своими словами Authorization Code Flow как самый распространенный и безопасный, aka Server-Side. OAuth: описание протокола простым и понятным языком. OAuth — популярный протокол, который позволяет социальным сервисам интегрироваться между собой и дает безопасный способ обмена персональной информацией.
OAuth может связать между собой 2 сервиса, каждый из которых имеет свою пользовательскую базу — именно их я в данном случае называю «социальными». Когда начинаешь работать с OAuth, первое ощущение — что протокол весьма сложен и избыточен.