Twitter только для OAuth: что это значит для приложений JavaScript

Сегодняшний день может стать последним днем ​​для некоторых веб-приложений, созданных исключительно с использованием клиентского JavaScript и API Twitter. Согласно Твиттеру, Базовая Аутентификация была постоянно отключена, как и было обещано. Хотя этот шаг должен повысить безопасность для многих пользователей, он также сделает создание приложений JavaScript без поддержки OAuth на стороне сервера практически невозможным из-за проблем безопасности.

Разработчики, использующие JavaScript для создания только клиентских приложений, оказываются в ловушке 22. Информация OAuth должна быть жестко закодирована, что устраняет дополнительную безопасность использования OAuth. Любой, кто использует приложение, потенциально может иметь полный доступ к учетной записи разработчика. Твиттер Тейлор Синглетари описал проблему в списке рассылки для разработчиков:

Не существует безопасного способа сделать это исключительно в Javascript, так как вам придется жестко кодировать ваш ключ потребителя и его секрет, а также oauth_token и oauth_token_secret для учетной записи Twitter, которую вы хотите использовать для всех операций. С помощью этих фрагментов каждый сможет твитнуть сообщения от имени вашего приложения и учетной записи.

В таком случае вы захотите реализовать большую часть этой логики на стороне сервера, где вы сможете надежно хранить жестко запрограммированные учетные данные. Вы можете использовать Javascript для общения с вашими серверами, чтобы ускорить процесс.

Да, это изменение приведет к повышению безопасности, поскольку важная информация никогда не покидает сервер. Это также приводит к уменьшению количества опций для создания приложения JavaScript. Однако те, кто использует API поиска с JavaScript, не будут затронуты, так как он не требует аутентификации.

Однако те, кто использует API поиска с JavaScript, не будут затронуты, так как он не требует аутентификации

У разработчиков было много предупреждений. Твиттер первый объявил о переезде в апреле , затем продлил срок с июня по август и, наконец, реализовали постепенный отказ , Твиттер, похоже, позволяет наладить связь с помощью старого метода, но ожидайте, что даже это скоро закончится, так как все заявления компании указывают на то, что Basic Auth действительно, действительно исчез.

Твиттер первый   объявил о переезде в апреле   , затем   продлил срок   с июня по август и, наконец, реализовали   постепенный отказ   ,  Твиттер, похоже, позволяет наладить связь с помощью старого метода, но ожидайте, что даже это скоро закончится, так как все заявления компании указывают на то, что Basic Auth действительно, действительно исчез

Изменение на OAuth означает повышение безопасности для пользователей, потому что «Приложения не будут хранить ваше имя пользователя и пароль, и если вы измените свой пароль, приложения продолжат работать». OAuth - это система аутентификации на основе токенов. Отдельным приложениям предоставляется доступ через ключ, переданный с сервера. Приложения, использующие базовую аутентификацию, сохраняют пароль в приложении и отправляют его на сервер при выполнении вызова.

Значительно ли отказываться от клиентских приложений? Стоит ли безопасность? Дайте нам знать об этом в комментариях.

Значительно ли отказываться от клиентских приложений?
Стоит ли безопасность?