{"id":4424,"date":"2012-08-02T23:24:22","date_gmt":"2012-08-02T21:24:22","guid":{"rendered":"http:\/\/notizblog.org\/?p=4424"},"modified":"2021-07-21T16:04:47","modified_gmt":"2021-07-21T14:04:47","slug":"oautsch","status":"publish","type":"post","link":"https:\/\/notiz.blog\/2012\/08\/02\/oautsch\/","title":{"rendered":"OAut(sc)h"},"content":{"rendered":"\n<div class=\"wp-block-image\"><figure class=\"alignright\"><img loading=\"lazy\" decoding=\"async\" width=\"250\" height=\"248\" sizes=\"auto, (max-width: 250px) 100vw, 250px\" src=\"https:\/\/notiz.blog\/wp-content\/uploads\/2012\/07\/OAuth2.png\" alt=\"OAuth 2 Logo\" class=\"wp-image-4427\" srcset=\"https:\/\/notiz.blog\/wp-content\/uploads\/2012\/07\/OAuth2.png 250w, https:\/\/notiz.blog\/wp-content\/uploads\/2012\/07\/OAuth2-150x150.png 150w\" \/><\/figure><\/div>\n\n\n\n<p>So, jetzt muss ich mich auch mal zu der OAuth Geschichte \u00e4u\u00dfern! Wer nicht wei\u00df warauf ich anspiele, der sollte sich zuerst mal Eran Hammers Blogpost durchlesen: <a href=\"https:\/\/web.archive.org\/web\/20140209045918\/http:\/\/hueniverse.com\/2012\/07\/oauth-2-0-and-the-road-to-hell\/\">OAuth 2.0 and the Road to Hell<\/a>.<\/p>\n\n\n\n<p>Auf alle Kritikpunkte von Eran Hammer m\u00f6chte ich gar nicht eingehen&#8230; Ich kann seine Kritik durchaus verstehen und teile sie auch weitestgehend. Auch ich bin generell der Freund von schlanken Spezifikationen und hasse Standards die versuchen <a href=\"https:\/\/notiz.blog\/2012\/01\/18\/openid-connect-complex\/\">alles abzudecken<\/a> und <a href=\"https:\/\/notiz.blog\/2011\/11\/15\/oalternative\/\">jedes Format<\/a> zu unterst\u00fctzen.<\/p>\n\n\n\n<p>Abgesehen von den ganzen Sicherheitsaspekten und dem Fokus auf &#8222;Enterprise&#8220;-Anwendungen welche Eran Hammer in seinem Artikel erw\u00e4hnt, hat mich die Fehlende <a href=\"https:\/\/datatracker.ietf.org\/doc\/html\/draft-ietf-oauth-v2-31#section-1.8\"><em>Interoperability<\/em> von OAuth 2<\/a> zuerst am Meisten genervt:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\"><p>OAuth 2.0 provides a rich authorization framework with well-defined security properties. However, as a rich and highly extensible framework with many optional components, on its own, this specification is likely to produce a wide range of non-interoperable implementations.<\/p><\/blockquote>\n\n\n\n<p>Mein erster Gedanke: Na toll! Man macht sich hier Gedanken \u00fcber dezentrale Netzwerke, f\u00fcr die man einfache und simple Spezifikationen braucht und Familie OAuth released ein &#8222;Framework&#8220;&#8230;<\/p>\n\n\n\n<p>Aber eigentlich ist ja gerade das auch eine riesen Chance f\u00fcr das Web! W\u00e4hrend <em>OpenID Connect<\/em> bestimmt, dass jeder Provider die <a href=\"http:\/\/openid.net\/specs\/openid-connect-basic-1_0.html#anchor2\">komplette Spezifikation<\/a> implementieren muss:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\"><p>The OpenID Connect Basic Client profile only documents Clients using the Code Flow. OpenID Providers MUST support both flows. OpenID Providers should consult the OpenID Connect Standard 1.0 Specification.<\/p><\/blockquote>\n\n\n\n<p>bleibt es jedem frei gestellt welchen Teil von OAuth 2 er umsetzt&#8230; Also warten wir doch einfach ab, bis das &#8222;Framework&#8220; fertig ist, suchen uns die f\u00fcr das Web eleganteste Variante raus, dokumentieren sie sch\u00f6n und fertig ist &#8222;OAuth 2 &#8211; <em>The Web Edition<\/em>&#8222;.<\/p>\n\n\n\n<p>&#8230;nicht perfekt, aber es k\u00f6nnte auch schlimmer sein!<\/p>\n","protected":false},"excerpt":{"rendered":"<p>So, jetzt muss ich mich auch mal zu der OAuth Geschichte \u00e4u\u00dfern! Wer nicht wei\u00df warauf ich anspiele, der sollte sich zuerst mal Eran Hammers Blogpost durchlesen: OAuth 2.0 and the Road to Hell. Auf alle Kritikpunkte von Eran Hammer m\u00f6chte ich gar nicht eingehen&#8230; Ich kann seine Kritik durchaus verstehen und teile sie auch [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"webmentions_disabled_pings":false,"webmentions_disabled":false,"activitypub_content_warning":"","activitypub_content_visibility":"","activitypub_max_image_attachments":4,"activitypub_interaction_policy_quote":"anyone","activitypub_status":"","footnotes":""},"categories":[2],"tags":[5171,422,423,873],"class_list":{"0":"post-4424","1":"post","2":"type-post","3":"status-publish","4":"format-standard","6":"category-web","7":"tag-fediblog","8":"tag-oauth","9":"tag-openid","10":"tag-openid-connect","11":"h-entry","12":"hentry"},"_links":{"self":[{"href":"https:\/\/notiz.blog\/wp-api\/wp\/v2\/posts\/4424","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/notiz.blog\/wp-api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/notiz.blog\/wp-api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/notiz.blog\/wp-api\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/notiz.blog\/wp-api\/wp\/v2\/comments?post=4424"}],"version-history":[{"count":1,"href":"https:\/\/notiz.blog\/wp-api\/wp\/v2\/posts\/4424\/revisions"}],"predecessor-version":[{"id":21551,"href":"https:\/\/notiz.blog\/wp-api\/wp\/v2\/posts\/4424\/revisions\/21551"}],"wp:attachment":[{"href":"https:\/\/notiz.blog\/wp-api\/wp\/v2\/media?parent=4424"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/notiz.blog\/wp-api\/wp\/v2\/categories?post=4424"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/notiz.blog\/wp-api\/wp\/v2\/tags?post=4424"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}