Tag Archives: ‘Browser-Based Authentication’

Yahoo! BBAuth: Browser-Based Authentication

这次 Yahoo! Hack Day 最引人瞩目的成果当属:BBAuth(Browser-Based Authentication)。在日常上网使用各个站点的服务的时候,身份验证就让我们很烦,在一个站点输入用户名、密码; 到了另一个站点,还是要输入用户名、密码;个人管理这些安全信息就是一个麻烦事情,而这些身分认证的管理对于一些中小站点来说,也是一个不小的负担。BBAuth(基于浏览器的身份验证) 就是雅虎试图解决这个问题的推出的一个方案。
BBAuth 的示意图如下:
BBAuth 示意图
(图是借用官方站点上的)
第三方需要用户身份确认,请求页面重新定向到 Yahoo! 登陆页面,Yahoo! 验证后返回凭证给改第三方站点。
这个服务和 OpenID 都在尝试解决同样地问题。不过,差别还是不小。
Yahoo! BBAuth 的优点是第三方站点可以直接与雅虎的所有用户进行交互。身份验证的成本大大降低。缺点是,不够开放。Yahoo! 相当于一个大磁铁,把使用 BBAuth 服务的 Web 站点集中在自己周围。
OpenID 的优点是开放性好,不存在集中化的弊端。但是没有大商业团体的推动,如果构建的话,总体的成本偏高。
其实我更关心 Yahoo! 认证时候的网络响应速度 :)
对于一些特定的 Web 应用,BBAuth 优势很明显,比如解决 Blog 牛皮癣(Comment Spam) 的问题。
Updated: 已经有人在使用 BBAuth 进行 Blog Commenter 的身份验证
EOF