OAuth不断获得动力

Coding Horror上的名人Jeff Altwood在最近的一篇博文中描述了在web站点开发者中的一种日益增加的、常见的、但是非常不受人欢迎的行为——获取你email的用户名和密码，这样该服务就能查看你的email联系人以检查这些联系人中是否有人也在使用该项服务。Jeff以Yelp网站为例说明了这个问题，其实他还可以用LinkedIn（请看下面）或者任何其他站点做例子。

Jeff非常坦率地强调为什么这是一个问题。简言之“他们能很快找到我家的钥匙以快速翻阅我的地址簿”。

很多公司和个人正在尝试解决该问题，包括Google、Yahoo、Microsoft以及OAuth项目。OAuth是由Blaine Cook、Chris Messina、Larry Halff 及David Recordon共同发起的，目的在于为API访问授权提供一个开放的标准。OAuth讨论组于2007年4月建立，以便向这个小组的实现者提供一种机构来编写协议草案。Eran Hammer-Lahav与Google的DeWitt Clinton在开发过程中做出了巨大的贡献。规范的1.0版于2007年12月4日发布。

从高层次来看，OAuth按以下方式工作：

1. 你的站点已与不同的webmail服务供应商建立了关系。
2. 你共享一个密码短语或者公钥，这样你就能使用它访问web联系人。
3. 你根据webmail服务供应商将用户重定向到登录页面。
4. 该用户登录然后告诉webmail服务供应商你的站点访问其地址薄是没问题的。 

OAuth正通过许多实现（包括针对Java、C#、Objective-C、Perl、PHP及Ruby语言的实现）获得巨大的动力。大部分实现都由OAuth项目维护并放在Google代码库上。Ryan Heaton已经实现了针对Spring security的OAuth，你能从这里找到它。支持OAuth的站点包括Twitter、Ma.gnolia与Google（你可以在这里看到关于Alpha版的帖子）。

查看英文原文：OAuth Gaining Momentum