在應(yīng)用開發(fā)中，API已經(jīng)導(dǎo)致了令人難以置信的爆炸式增長，而OAuth標(biāo)準(zhǔn)就是允許哪些內(nèi)容安全和可靠地發(fā)生。通過應(yīng)用程序接口(API)進(jìn)行的應(yīng)用開發(fā)就像是任何關(guān)系都是基于信任才能發(fā)生的。

可信的開發(fā)方式通過一個(gè)稱為OAuth的開放認(rèn)證標(biāo)準(zhǔn)實(shí)現(xiàn)。正如Sam Ramji所說，發(fā)生在過去的幾年里的“應(yīng)用寒武紀(jì)大爆發(fā)”不可能再出現(xiàn)了。

“OAuth已經(jīng)成為人們使用大型社交媒體API的標(biāo)準(zhǔn)實(shí)踐，跨企業(yè)的API越來越常見，”API管理公司Apigee的戰(zhàn)略副主席Ramji說道。同時(shí)，標(biāo)準(zhǔn)的采納越來越普遍，并且這個(gè)術(shù)語已經(jīng)引起一些反響，但是并不是每個(gè)人都明白到底意味著什么。

Scott Morrison在他的解釋中使它變得很簡單。API管理公司Layer 7的首席技術(shù)官使用Facebook和Twitter來描述這個(gè)術(shù)語，這兩個(gè)都是早期采用OAuth的案例。Morrison解釋道：“Facebook和Twitter都以一種或其他方式代表我，我希望將這兩者結(jié)合在一起;OAuth就是一種使個(gè)人能夠在不同站點(diǎn)之間建立這種信任特設(shè)的技術(shù)。”

Morrison說在當(dāng)前的網(wǎng)絡(luò)環(huán)境，帳戶的合并至關(guān)重要，但是在OAuth之前，用戶名和密碼是混亂的，必須分布在多平臺之間，缺乏安全保障，并且很難跟蹤。

“問題在于交付應(yīng)用是工作重心。如果任何一方被盜用，你所給的信任土崩瓦解，” Morrison說，“相反，我們想要的是委托授權(quán)，希望能夠與Facebook對話，‘這是一個(gè)特殊的證書，給你有限的訪問Twitter賬戶的權(quán)限，但你可以訪問所有的tweet。’有限的功能的子集。”

探索OAuth的優(yōu)勢

將OAuth與OpenID區(qū)分的有限功能子集，只是提供了認(rèn)證，但不允許訪問權(quán)限的管理。沒有委托授權(quán)和管理訪問權(quán)限，OAuth與單點(diǎn)登錄認(rèn)證沒有區(qū)別。

雖然OAuth是一個(gè)標(biāo)準(zhǔn)，但是Morrison將它描述為是對“我們過去所做的進(jìn)行大型標(biāo)準(zhǔn)化”的詛咒。他將它形容為能夠開發(fā)的更多的草根運(yùn)動。

Morrison說：“最重要的一點(diǎn)是，讓開發(fā)者能夠用API將多個(gè)應(yīng)用集成在一起，發(fā)展中大的變革是使用標(biāo)準(zhǔn)化API，使應(yīng)用能夠跟應(yīng)用對話。OAuth是重要的部分，因?yàn)樗糜谏矸蒡?yàn)證和授權(quán)認(rèn)證。當(dāng)你從一個(gè)應(yīng)用調(diào)用其他應(yīng)用時(shí)，使用這個(gè)口令。”

OAuth是面向服務(wù)結(jié)構(gòu)衍生出來的，但就像API，它是被簡化的，這屬于Morrison所說的快速推向市場的“現(xiàn)代開發(fā)時(shí)代精神”——敏捷開發(fā)。

他補(bǔ)充說OAuth沒有獲得各方的認(rèn)可,雖然它是與早期采用者一起發(fā)展壯大，但很大程度上消費(fèi)者端仍有待開發(fā)。“目前，在政府、軍事、情報(bào)社區(qū)工作的人們所做的很多事情一樣，讓更多人被固有標(biāo)準(zhǔn)吸引，”Morrison說，“在很多方面OAuth仍有待在一些領(lǐng)域證明自己。它已經(jīng)在構(gòu)建iphone應(yīng)用方面，以及在使Facebook和Twitter一起合作方面做了大量的工作。”

Morrison預(yù)計(jì)OAuth有向上聚集效應(yīng)，并最終達(dá)到更安全的開發(fā)環(huán)境。