Después de jugar con la API de Google y otros proveedores de servicios de video de la API, he aprendido mucho sobre la autenticación. oAuth y AuthSub son dos métodos que usa Google para autenticar aplicaciones web de terceros en una cuenta de usuario.
El proceso puede parecer complicado al principio, pero una vez que lo entiendes, no es tan malo. La siguiente imagen muestra el proceso AuthSub.
- Cuando la aplicación web necesita para acceder al servicio de Google de un usuario, se hace una llamada al servicio de AuthSub de autorización de mandatario de Google.
- El servicio de autorización responde presentando una página de solicitud de acceso. Esta página administrada por Google solicita al usuario que otorgue/niegue el acceso a su servicio de Google. En primer lugar, se le puede pedir al usuario que inicie sesión en su cuenta.
- El usuario decide si otorgar o denegar el acceso a la aplicación web. Si el usuario niega el acceso, se los dirige a una página de Google en lugar de volver a la aplicación web.
- Si el usuario concede acceso, el servicio de Autorización redirige al usuario a la aplicación web. La redirección contiene un token de autorización válido para un solo uso; se puede cambiar por un token de larga vida.
- La aplicación web contacta al servicio de Google con una solicitud, utilizando el token de autorización para actuar como agente del usuario.
- Si el servicio de Google reconoce el token, proporciona los datos solicitados.
http://code.google.com/apis/accounts/docs/AuthSub.html#AuthProcess
Cuando le solicitan que se autenticados y el usuario inicia sesión en su/su cuenta de Google, antes de que él/ella otorga su permiso a la aplicación para hacer cosas en su cuenta, y si su dominio tiene Si no se ha registrado en Google, el usuario recibirá una caja roja desagradable diciéndole que tenga cuidado porque la aplicación a la que están a punto de dar acceso no está registrada con ellos.
Las ventajas sobre estos métodos durante el antiguo nombre de usuario y la contraseña son la escuela (en mi opinión) lo siguiente:
- seguridad mejorada para el usuario: El usuario no tendrá que darle su nombre de usuario y contraseña, tienen que iniciar sesión en google y obtendrás un token de acceso que usarás para realizar más llamadas a la API. El usuario puede revocar el acceso a su aplicación desde dentro de google si lo desea.
- El proceso puede dar al usuario la garantía de que su aplicación es "Legit". Si un usuario tiene que ir a través de google para iniciar sesión y permitir su aplicación, puede verse bien si su dominio ha sido registrado con google.
- El token se puede promocionar a un token de sesión: Esto significa que no tiene que pedirle al usuario que inicie sesión cada vez que necesite solicitar acceso a la cuenta de usuario de google, solo use el token de sesión (que debe asegurar guardar en alguna parte) y listo.
- Una vez que comprenda el proceso, es bastante sencillo autenticar usuarios.
- (no verificado) Si el usuario cambia su contraseña, no tiene que actualizar el token de seguridad.
- Por último, si usa oAuth puede crear una interfaz que le permita autenticar fácilmente a los usuarios cuando se conecte a otros servicios web, como Vimeo.
Con todo esto dicho, supongo que puede averiguar por qué sería una mala idea usar el nombre de usuario y las contraseñas (que es lo que hace el ClientLogin) para conectarse a una cuenta de usuario. Otros métodos de autenticación le permiten hacer lo mismo (solicitar acceso) y agregar un montón de ventajas.
El código sobre cómo autenticar a los usuarios que usan AuthSub se puede encontrar aquí, es más o menos plug n play. solo asegúrese de guardar $ _SESSION ['sessionToken'] en una ubicación más permanente, como un DB.
http://code.google.com/apis/youtube/2.0/developers_guide_php.html#AuthSub_for_Web_Applications