Авторизация по протоколу OAuth на примере Desktop Twitter-клиента

[@danilissimus]

с такими новшествами проще будет использовать авторизацию по кукис :)

[@Vass]

Да нет, протокол обалденный, просто он поражает своей параноидальностью, однако, я бы его рекомендовал и для более серьезных сервисов, например тех, которые работают с деньгами.

[@Mephistophele]

Насколько я помню, гугл использует этот протокол как один из возможных для авторизации в своих сервисах.

[@Vass]

Обоснуйте? В чем хитрость?

[@tass]

ты его не слушай, это ж Кулябин))

[@Vass]

Дак и чего? Для этого клиента все уже написано, а реализация HMAC-SHA1 нужна лично мне.

[@DevMan]

Обязательно нужно под LGPL? Как-то попадалась реализация на сайте codeproject.com под вполне вменяемой лицензией.

[@Vass]

Ее видел (на нее ссылка даже есть в статье), но она почему то так и не смогла сгенерировать мне то что я хочу, хотя мб я был не прав, я этого не исключаю.

[@chrome3]

Пост однозначно в избранное. Что интересно, не далее как вчера, мне самому приходила идея создание подобного twitter клиента.

[@oxff]

OAuth: Описание протокола простым и понятным языком
(с) Дмитрий Котеров

[@Vass]

На базе php да. У меня как заметили наверно речь идет про C++/Qt,
Если бы мне потребовалось реализовать это на PHP статьи бы не было, потому что в сети хватает примеров, с С++/Qt все немного сложнее.

[@oxff]

Конечно, заметил.
Ссылка приведена лишь в качестве альтернативного источника информации по теме.

[@yaidiot]

>команда Twitter'a предупреждает, что откажется от него в конце июня сего года
откуда такая информация?

[@ak1394]

Пробегало в twitter-development-talk, в июне по-моему выключают. Там еще появилась штука под названием xAuth, которая дает возможность обменять username/password на OAuth access tokens, ее однако дают не всем.

[@dive]

пробегало, было дело. но закончилось тем, что было названо 20+ доводов за BasicAuth и 20+ против его отмены. так что ждем решения.
вообще, с точки зрения простейшего метода взлома, а именно «социальной инженерии», BasicAuth много защищеннее, нежели OAuth. но это уже другой разговор.

[@ak1394]

Да ладно, кончилось: bit.ly/whatsupwithoauth

В частности:

*BASIC AUTHENTICATION DEPRECATION*

yup — it's still happening. we're targeting June 2010. everybody,
including legacy applications, will have to move over.

[@dive]

а вы правы. не видел этот тред. извиняюсь за дезориентацию.

[@dive]

от BasicAuth никто отказываться не собирается, разве что в далеком-далеком будущем. это автор статьи пугает нас.
отказаться будет тяжело, учитывая то, что из мобильных клиентов организовать OAuth крайне тяжело, а порой и просто невозможно.
«OAuth is the Twitter preferred method of authentication moving forward. While we have no plans in the near term to require OAuth, new applications should consider it best practice to develop for OAuth. We eventually would like to suspend Basic Auth support. However we realize that Basic Auth has been a large part of the API's success, and that the barrier to entry if OAuth is the only solution is substantially higher. Many applications rely on Twitter accounts as their means of account management. Additionally, Basic Auth allows a developer with a command line, cURL, and his account credentials to start poking at Twitter data. There are still a number of archetectural use cases to work through before we consider the deprication of Basic Auth. Before any changes begin to happen, we will discuss them with the community through the support channels, and give at least 6 months lead time before making any policy changes.»

[@ak1394]

Ага, по этому для мобильных клиентов сделали xAuth.

[@dive]

xAuth удобная штука. плюс хорошая мотивация в виде увеличенных RateLimit.

[@ak1394]

Точно, плюс возможность указывать source тег в твитах. Клиентам использующим Basic Auth его давно не давали.

[@energycsdx]

прикрутить бы QOAuth к QML Twitter demo а то оно поломаное слегка.

[@ilya_compman]

Если кому интересно, могу рассказать о работе с twitter oauth на PHP

[@tass]

рассказывай конечно, вот только с пыхом там проще все, ибо есть уже готовые проверенные либы в вики по апи твиттера

[@Cyberax]

Спасибо за статью очень помогла.

[@Vass]

3.5 года прошло, у меня даже исходного кода той приблуды уж нету, извините.