passando sopra a molti dettagli qui, ma:
http base: inviare nome utente & password in chiaro nell'intestazione Autorizza
http digerire: inviare nome utente & la password, dove la password è stata hash da un server fornito nonce
Entrambe le versioni di OAuth originariamente progettati per concedere ai partiti 3rd accesso a risorse che non sono di proprietà (ad es. Acconsento mobile photo app per pubblicare i tuoi amici a mio nome), senza dover rinunciare alla 3a parte le mie credenziali. Entrambi questi protocolli di lavoro essenzialmente come segue:
- Dall'applicazione foto cellulare, l'utente viene indirizzato alla pagina di facebook
- Una volta che sono loggato, vengono reindirizzati clic sulla foto per app mobile con un codice.
- L'app per foto mobile riscatta questo codice per un token di accesso
- L'app per foto su cellulare può quindi inviare richieste a Facebook per pubblicare le mie foto sul mio muro.
oauth1.0a: più sicuro di oath2, ma più difficile da implementare richiede anche che tutte le richieste siano firmate.
oauth2: si basa su ssl per sicurezza e non richiede la firma della richiesta. Mentre è l'autore principale ha abbandonato il progetto perché ritiene che non soddisfi nessuno dei suoi obiettivi di progettazione originali (sicurezza, interoperabilità) è ampiamente utilizzato da Facebook e Google.
Qui ci sono alcuni articoli che ho trovato utile qui:
Non ancora abbastanza mojo per il collegamento alla RFC, ma queste sono le fonti definitive, se leggermente indigesto
Cool site cercando di fare luce: http://oauthbible.com/ – SudoPlz