OAuth - Кто именно является владельцем ресурса? Когда это не конечный пользователь?
Термин «владелец ресурса» определен в спецификации OAuth v2.0 как «объект, способный предоставлять доступ к защищенному ресурсу. Когда владелец ресурса - человек, он называется конечным пользователем »
Мой вопрос: когда владелец ресурса не является конечным пользователем? Я был бы признателен за объяснение с помощью примеров, которые могут быть реальными вариантами использования. Например, если защищенным ресурсом является фотография пользователя Facebook, является ли владелец ресурса Facebook или пользователь Facebook, который загрузил фотографию? Кроме того, почему владелец ресурса (это тоже человека) считаться конечным пользователем, если этот человек даже не является пользователем приложения, реализующего OAuth? И, если пользователь Facebook является владельцем ресурса, то какую роль Facebook играет в этом обмене?
2 ответа
Рассмотрим ситуацию, когда владельцем ресурса является корпорация, возможно, с политикой, которая разрешает / запрещает доступ к ресурсу.
Рассмотрим пример искусства; допустим, вы хотите, чтобы ваше жилище выглядело лучше с произведением искусства; Есть несколько мест, в которые вы можете пойти (например, Costco), где вы можете выбрать произведение искусства, чтобы оно было напечатано на носителе по вашему выбору в размере по вашему выбору и доставлено на дом.
Вот в чем дело; Costco не является владельцем лицензионных прав на это произведение искусства; это за пределами их бизнеса. Они продают вещи, они не собирают искусство. Они ведут переговоры с владельцем контента (владельцем лицензии на произведение искусства) о правах на использование этого произведения в печати, которую они затем создают и передают вам. Вы платите Costco за произведение искусства; Затем Costco платит лицензиару часть своего платежа от вас за право использовать произведение искусства.
Это работает также в ситуации, когда у вас уже есть отношения с владельцем ресурса; скажем, вы договорились и купили права на какую-то музыку, например. Вы не владелец музыки, потому что у вас нет права перепродавать музыку; но у вас есть права на его прослушивание (это стандартная ситуация с DRM). Теперь допустим, что вы хотите воспроизводить эту музыку через веб-сайт; Вы можете сделать запрос на сайт для этой музыки; веб-сайт может связываться с владельцем контента (на самом деле, с лицензиаром, но фактически так же) с вашей идентификацией; владелец контента может затем решить, предоставлять ли сайту доступ с вашей стороны к контенту, основываясь на ваших условиях.
Надежда, которая проясняет некоторые вещи.
Из спецификации:
Владелец ресурса - Объект, способный предоставить доступ к защищенному ресурсу. Когда владельцем ресурса является человек, его называют конечным пользователем
Из этого определения я прочитал, что многие объекты могут быть способны предоставлять доступ к защищенному ресурсу.
Как вы заметили, примеры с людьми легко найти. Когда вы запрашиваете доступ к моей защищенной фотографии, только один объект может предоставить доступ. Эта сущность - это я. Я должен выполнить какое-то действие, чтобы удовлетворить ваш запрос. В зависимости от приложения это может включать нажатие кнопки, отправку текстового сообщения, разговор, хлопки в ладоши, что угодно. Механизм, с помощью которого мои действия фиксируются & amp; обработанный не имеет отношения к этому определению.
Продолжая этот пример, допустим, что другой объект может предоставить доступ к моей защищенной фотографии. Представьте, что вы являетесь надежным деловым партнером фотохостинга. Или, возможно, вы являетесь другой командой в компании, предоставляющей фотографии, и ваши серверы работают в одном центре обработки данных. В этом случае может быть желательно автоматически предоставить вам разрешение на защищенную фотографию. Если сервер ресурсов решит автоматически предоставить вам доступ (из-за того, кто вы есть), это будет представлять собой вторую сущность. Здесь эта нечеловеческая сущность решила (со всей своей мудростью), что ваш запрос доступа должен быть автоматически принят.