私はセキュリティ ドメインの初心者で、OAuth 2.0 プロトコルを理解しようとしています。rfc6749 からの次のステートメントは、私には明確ではありません。
従来のクライアント/サーバー認証モデルでは、クライアントは、リソース所有者の資格情報を使用してサーバーで認証することにより、サーバー上のアクセスが制限されたリソース (保護されたリソース) を要求します。
クライアントがリソース所有者の資格情報を使用すると言われているのはなぜですか? 通常、許可されている場合、多くの異なるユーザーがリソースにアクセスできます。それらはすべてリソース所有者と見なされますか、それとも何ですか? リソースの所有者は誰ですか?
PS初心者の質問で申し訳ありません。
リソース所有者は 1 人だけです。OAuth プロトコルは、保護されたリソースについて話し、誰かがダウンロードするためにインターネットにアップロードするファイルではありません。
Facebook を例にとると、あなたのニュース フィード/ウォールなどは、あなた (所有者) だけがアクセスできる保護されたリソースです。OAuth を使用すると、他のユーザーが特定の制約付きでこれらのリソースにアクセスできます。(はい、あなたに代わってウォールに投稿し続けるアプリがその例です)。
従来、誰かに保護されたリソースにアクセスしてもらいたい場合 (たとえば、あなたの代わりに FB ウォールに何かを書いたり、ステータス メッセージを更新したりするなど)、ユーザー名とパスワードを渡さなければなりませんでした。これがその声明です
従来のクライアント/サーバー認証モデルでは、クライアントは、リソース所有者の資格情報を使用してサーバーで認証することにより、サーバー上のアクセスが制限されたリソース (保護されたリソース) を要求します。
意味。
OAuth の出現により、資格情報を開示することなく、他の人やアプリが保護されたリソースにアクセスできるようになります。これは、Facebook でアプリを起動して許可を求めるときに起こることです。アプリは公開情報などにアクセスしようとしています。
この小さな記事を読んでください。OAuth がどのように機能するかについて、実際の例で説明します。