開放授權- 維基百科，自由的百科全書

這樣，OAuth讓使用者可以授權第三方網站存取他們儲存在另外服務提供者的某些特定資訊，而非所有內容。

OAuth是OpenID的一個補充，但是完全不同的服務。

目次. 1 ... 開放授權 維基百科，自由的百科全書 跳至導覽 跳至搜尋 開放授權（OAuth）是一個開放標準，允許使用者讓第三方應用存取該使用者在某一網站上儲存的私密的資源（如相片，影片，聯絡人列表），而無需將使用者名稱和密碼提供給第三方應用。

OAuth允許使用者提供一個權杖，而不是使用者名稱和密碼來存取他們存放在特定服務提供者的資料。

每一個權杖授權一個特定的網站（例如，影片編輯網站)在特定的時段（例如，接下來的2小時內）內存取特定的資源（例如僅僅是某一相簿中的影片）。

這樣，OAuth讓使用者可以授權第三方網站存取他們儲存在另外服務提供者的某些特定資訊，而非所有內容。

OAuth是OpenID的一個補充，但是完全不同的服務。

目次 1版本與歷史 1.1歷史 1.2OAuth2.0 2安全 3OAuth與其他標準 4參見 5參考文獻 6外部連結 版本與歷史[編輯] 歷史[編輯] OAuth開始於2006年11月，當時布萊恩·庫克（英語：BlaineCook(programmer)）正在開發Twitter的OpenID實現。

與此同時，社交書籤網站Ma.gnolia（英語：Gnolia）需要一個解決方案允許使用OpenID的成員授權Dashboard存取他們的服務。

這樣庫克、克里斯·梅西納（英語：ChrisMessina(opensourceadvocate)）和來自Ma.gnolia的拉里·哈爾夫（LarryHalff）與戴維·雷科爾頓（英語：DavidRecordon）會面討論在Twitter和Ma.gnoliaAPI上使用OpenID進行委託授權。

他們討論得出結論，認為沒有完成API存取委託的開放標準。

2007年4月，成立了OAuth討論組，這個由實現者組成的小組撰寫了一個開放協定的提議草案。

來自Google的德維特·柯林頓獲悉OAuth專案後，表示他有興趣支援這個工作。

2007年7月，團隊起草了最初的規範。

隨後，EranHammer-Lahav加入團隊並協調了許多OAuth的稿件，建立了更為正式的規範。

2007年10月,OAuth核心1.0最後的草案發布了。

2008年11月，在明尼阿波利斯舉行的網際網路工程任務組第73次會議上，舉行了OAuth的BoF[1]討論將該協定納入IETF做進一步的規格化工作。

這個會議參加的人很多，關於正式地授權在IETF設立一個OAuth工作群組這一議題得到了廣泛的支援。

2010年4月，OAuth1.0協定發表為RFC5849，一個非正式RFC。

OAuth2.0[編輯] OAuth2.0是OAuth協定的下一版本，但不向下相容OAuth1.0。

OAuth2.0關注客戶端開發者的簡易性，同時為Web應用、桌面應用、手機和智慧型裝置提供專門的認證流程。

Facebook的新的GraphAPI只支援OAuth2.0[2]，Google在2011年3月也宣布GoogleAPI對OAuth2.0的支援[3]，WindowsLive也支援OAuth2.0[4]。

安全[編輯] 2009年4月23日，OAuth宣告了一個1.0協定的安全漏洞。

該漏洞影響了OAuth1.0核心規範第6節的OAuth的認證流程（也稱作3階段OAuth）。

[5]於是，發布了OAuthCore協定1.0a版本來解決這一問題。

[6] 2014年5月，新加坡南洋理工大學一位名叫王晶（WangJing）的數學系博士生[7]，發現了OAuth和OpenID開源登入工具的"隱蔽重新導向漏洞"[8]。

該漏洞首先由CNET報導[9]。

騰訊QQ、新浪微博、阿里巴巴淘寶、支付寶、搜狐網、網易、人人網、開心網、亞馬遜、微軟Live、WordPress、eBay、PayPal、臉書、Google、雅虎、領英、VK.com、Mail.Ru、Odnoklassniki.ru、GitHub等大量知名網站受影響[10]。

駭客可利用該漏洞給釣魚網站「變裝」，用知名大型網站連結引誘使用者登入釣魚網站，一旦使用者存取釣魚網站並成功登陸授權，駭客即可讀取其在網站上儲存的私密資訊[11]。

該問題被鳳凰網[12]，網易[13]，搜狐[14]，太平洋電腦網[15]，人民網[16]，CSDN[17]等大量中文網站報導。

其實漏洞不是出現在OAuth這個協定本身，這個協定本身是沒有問題的，之所以存在問題是因為各個廠商沒有嚴格參照官方文件，只是實現了簡版。

問題的原因在於OAuth的提供方提供OAuth授權過程中沒有對回呼的URL進行校驗，從而導致可以被賦值為非原定的回呼URL，就可以導致跳轉、XSS等問題，甚至在對回呼URL進行了校驗的情況可以被繞過[18]。

目前大部分被涉及的網站都已經修復該問題。

OAuth與其他標準[編輯] 參見[編輯] OpenID 隱蔽重新導向漏洞 參考文獻[編輯] ^BirdsofaFeather，意味起始會議 ^存档副本.[2010-07-06].（原始內容存檔於2012-08-07）.  ^Makingautheasier:OAuth2.0forGoogleAPIs.[2011-04-03].（原始內容存檔於2013-07-13）.  ^WindowsLive-OAuth2.0 ^OAuthSecurityAdvisory:2009.1.2009-04-23[2009-04-23].（原始內容存檔於2016-05-27）.  ^存档副本.[2010-07-06].（原始內容存檔於2009-06-30）.  ^WangJing.[2014-11-08].（原始內容存檔於2014-11-08）.  ^CovertRedirect.Tetraph.2014-05-01[2014-11-08].（原始內容存檔於2014-11-08）.  ^SerioussecurityflawinOAuth,OpenIDdiscovered.CNET.2014-05-02[2014-05-09].（原始內容存檔於2015-11-02）.  ^CovertRedirectVulnerabilityRelatedtoOAuth2.0andOpenID.Tetraph.2014-05-01[2014-11-08].（原始內容存檔於2014-10-16）.  ^针对近期“博全球眼球OAuth漏洞”的分析与防范建议.知道創宇.2014-05-06[2014-11-08].（原始內容存檔於2014-11-08）.  ^两款互联网登录系统曝出重大漏洞短期内或无法修复.鳳凰網.2014-05-03[2014-11-08].（原始內容存檔於2014-11-08）.  ^OAuth与OpenID登录工具曝出重大漏洞.網易.2014-05-03[2014-11-08].（原始內容存檔於2014-11-08）.  ^两款互联网登录系统曝出重大漏洞短期内或无法修复.搜狐.2014-05-04[2014-11-08].（原始內容存檔於2014-11-08）.  ^OAuth和OpenID两款登六系统再曝重大漏洞.太平洋電腦網.2014-05-04.（原始內容存檔於2014-11-08）.  ^Oauth2.0协议曝漏洞大量社交网隐私或遭泄露.人民網.2014-05-04.（原始內容存檔於2014-11-08）.  ^OAuth与OpenID登录工具曝出重大漏洞.CSDN.2014-05-04[2014-11-08].（原始內容存檔於2015-07-21）.  ^针对近期“博全球眼球OAuth漏洞”的分析与防范建议.FreeBuf.2014-05-07.  外部連結[編輯] OAuth.net（頁面存檔備份，存於網際網路檔案館） OAuthWG（頁面存檔備份，存於網際網路檔案館）attheIETF OAuthCodeLibrarySupport（頁面存檔備份，存於網際網路檔案館）onGoogleGroups OAuthBeginner'sGuideandResourceCenter（頁面存檔備份，存於網際網路檔案館）onHueniverse GoogleOAuth&FederatedLoginResearch（頁面存檔備份，存於網際網路檔案館） Yahoo!OAuthQuickStartGuide OAuth安全忠告 基於OAuth安全協定的Java應用編程 OAuthCore規範的譯文 CovertRedirect（頁面存檔備份，存於網際網路檔案館） 鳳凰網 人民網 CovertRedirectVulnerabilityRelatedtoOAuth2.0andOpenID SerioussecurityflawinOAuth,OpenIDdiscovered（頁面存檔備份，存於網際網路檔案館） 針對近期「博全球眼球OAuth漏洞」的分析與防範建議 取自「https://zh.wikipedia.org/w/index.php?title=开放授权&oldid=71213942」 分類：​雲端運算網際協議計算機訪問控制協議 導覽選單 個人工具 沒有登入討論貢獻建立帳號登入 命名空間 條目討論 臺灣正體 不转换简体繁體大陆简体香港繁體澳門繁體大马简体新加坡简体臺灣正體 查看 閱讀編輯檢視歷史 更多 搜尋 導航 首頁分類索引特色內容新聞動態近期變更隨機條目資助維基百科 說明 說明維基社群方針與指引互助客棧知識問答字詞轉換IRC即時聊天聯絡我們關於維基百科 工具 連結至此的頁面相關變更上傳檔案特殊頁面靜態連結頁面資訊引用此頁面維基數據項目 列印/匯出 下載為PDF可列印版 其他專案 維基共享資源 其他語言 العربيةবাংলাCatalàČeštinaDeutschEnglishEspañolEuskaraفارسیFrançaisעבריתMagyarBahasaIndonesiaItaliano日本語Қазақша한국어BahasaMelayuNederlandsPolskiPortuguêsРусскийTürkçeУкраїнська 編輯連結