Sự khác nhau giữa các định nghĩa Client, User-Agent và Resource Owner ở định dạng OAuth 2.0 là gì?Sự khác biệt giữa Khách hàng và Tác nhân người dùng
Một số ví dụ là ví dụ cho mỗi cụm từ là gì? (trình duyệt, người dùng, ...)
Tác nhân người dùng là trình duyệt hoặc ứng dụng dành cho thiết bị di động mà qua đó người dùng (chủ sở hữu tài nguyên) liên lạc với máy chủ ủy quyền. Máy khách là mã ứng dụng muốn truy cập tài nguyên của người dùng trên máy chủ tài nguyên.
Bây giờ khách hàng có thể sống trên máy chủ (như ứng dụng web) hoặc trên thiết bị (ứng dụng dành cho thiết bị di động) hoặc trong trình duyệt (ứng dụng JavaScript). Nếu khách hàng sống trên máy chủ, nó được coi là một khách hàng bí mật (có thể giữ bí mật). Nếu nó sống trên thiết bị hoặc trong trình duyệt, đó là một ứng dụng công cộng.
Loại khách hàng nào bạn có, xác định loại OAuth grants nào để sử dụng. Trên máy khách công cộng, bạn không thể tự xác thực máy khách với máy chủ ủy quyền (chỉ người dùng được xác thực) và do đó bạn không thể nhận mã thông báo làm mới từ máy chủ ủy quyền.
Tác nhân người dùng là trình duyệt.
Máy khách là mã đang chạy ở phía người dùng cuối, có thể có hoặc không chạy trong trình duyệt. Khách hàng sử dụng trình duyệt (tác nhân người dùng) để đăng nhập. Ý tưởng ở đây là người dùng nên tin tưởng trình duyệt bằng thông tin đăng nhập của họ, trong khi họ không nên tin tưởng mã khách hàng gốc. Ví dụ ở cuối.
Chủ sở hữu tài nguyên là người dùng cho phép ứng dụng truy cập vào tài nguyên (dữ liệu) từ tài khoản của họ.
Ví dụ: Giả sử bạn có ứng dụng trình chiếu (ứng dụng khách) trên ipad của bạn muốn truy cập ảnh Flickr của bạn. Ứng dụng này được phát triển bởi MysteriousAppDeveloper Inc. Nếu ứng dụng đó yêu cầu bạn (chủ sở hữu tài nguyên) cung cấp thông tin đăng nhập Flickr của bạn để có thể truy cập ảnh của bạn, thì bạn là người dùng bảo mật, sẽ không làm như vậy: bạn không có ý tưởng ứng dụng đó có thể làm gì với thông tin đăng nhập của bạn. May mắn thay, thay vì yêu cầu thông tin đăng nhập của bạn, thay vào đó nó sẽ chuyển tiếp trình duyệt ipad của bạn (tác nhân người dùng của bạn), mà bạn tin tưởng, để đăng nhập vào Flickr. Bạn đăng nhập vào Flickr thông qua trình duyệt của bạn, và sau đó ứng dụng trình chiếu ipad yêu cầu truy cập vào ảnh Flickr của bạn. Bạn cấp quyền truy cập và sau đó ứng dụng đó có thể trình chiếu hình ảnh của bạn (bao gồm hình ảnh có hạn chế quyền truy cập) mà không bao giờ truy cập mật khẩu của bạn. Bạn ngủ ngon vào ban đêm khi biết rằng ứng dụng trình chiếu không lấy thông tin đăng nhập của bạn và làm điều gì đó nghịch ngợm với họ.
Thông số kỹ thuật của Oauth không có động lực tốt, theo ý kiến của tôi. Toàn bộ điểm của giao thức là người dùng không nên tin tưởng các ứng dụng tùy ý bằng thông tin đăng nhập của họ. Thay vào đó, bạn nên hạn chế sự tin tưởng của bạn vào các ứng dụng như trình duyệt mà mọi người đều phụ thuộc vào anyway. Giao thức yêu cầu người dùng hiểu điều này là có hiệu quả.