GNAP：下一代OAuth

那是2012年，经过修订的OAuth 2安全协议席卷了整个网络，使用户可以使用安全提供商轻松地登录网站。从AWS的Cognito到Okta的许多单点登录系统都实现了OAuth。 OAuth使您可以“与Google或其他提供商进行身份验证”，以访问完全不同的网站或应用程序。
它像啤酒节一样工作。您到办公桌前用您的ID（和一些钱）进行身份验证，然后他们会给您令牌。从那里，您可以前往每个啤酒帐篷，并为啤酒兑换令牌。
单个酿酒商无需检查您的ID或询问您是否付款。他们只是拿令牌，然后给您啤酒。 OAuth以相同的方式工作，但使用网站而不是啤酒。
可悲的是，OAuth是2020年最好的啤酒节。 我与FusionAuth的Dan Moore谈到了OAuth和拟议的替代品GNAP，如果没有G，则该替代品可能会发音为“小睡”。这种发音进一步说明了安全性是一个令人兴奋的领域。
GNAP解决了OAuth的一些局限性，并为其添加了新功能。 为什么要替换或增强OAuth？ OAuth是围绕浏览器设计的。它假定发出请求的发起者可以处理HTTP重定向。
此Web浏览器焦点是移动应用程序或“物联网”上任何“事物”的绊脚石。此外，像这样的OAuth参与者是200 7，要求您发布表单参数而不是JSON。 OAuth规范在某些地方含糊不清，自2012年以来，世界发生了变化。
RFC和BCP繁多，实质上是您必须实现的附加规范，以实现更多功能，更好的安全性和一般兼容性。名为OAuth 2.1的另一项工作希望将其中一些附加组件折叠成更一致的单一规范。
有关OAuth 2.1的一些动机，请参阅Okta的帖子“改变灯泡需要多少RFC”中的Lee McGovern。 ”与GNAP不同，OAuth 2
1只是一个增量版本，除了将规范堆栈合并为一个规范外，没有新的重大更改。 GNAP规范仍处于早期阶段。 GNAP的作者计划超越OAuth2。
1，并更改协议本身的性质。可以使用JSON来代替HTTP参数。应用程序端点是可发现的。
您不必支持重定向（或绕过重定向的各种方法）。摩尔使用宜人的术语“开发人员人体工程学”来指代这些变化。 GNAP的主要目标是将谁请求资源（RQ）和谁拥有资源（RO）分开。
GNAP还建议支持新的安全功能，例如： 听起来不错？您今天可以开始使用GNAP吗？如果您有兴趣进行协作，则可以在GitHub上创建现有提案中的其中一个原型。 根据Moore的说法，作者的目标是在2022年发布GNAP。由于2020年的每一天就像是典型年份的一周，因此GNAP任重而道远。
但是，GNAP工作组正在寻找合作者，并且您可以加入邮件列表并提供反馈和专业知识。我想您无法修复世界上的所有问题，但至少可以帮助您修复OAuth。