ওঅথ
ওঅথ হল প্রবেশ প্রতিনিধিদের জন্য একটি বিশেষ মুক্ত আদর্শ,যে পদ্ধতিতে ইন্টারনেট ব্যবহারকারীরা কোন পাসওয়ার্ড দেয়া ছাড়াই অন্য ওয়েবসাইটকে তাদের ওয়েবসাইট কিংবা অ্যাপ্লিকেশনের তথ্যাদিতে প্রবেশাধিকার দেন।[1] তৃতীয় পক্ষের অ্যাপ্লিকেশন অথবা ওয়েবসাইটকে সংশ্লিষ্ট অ্যাকাউন্টের ব্যাপারে বিভিন্ন তথ্য প্রদান করতে গুগল,অ্যামাজন[2], ফেসবুক, মাইক্রোসফট এবং টুইটারের মতো কোম্পানিরা এই পদ্ধতি ব্যবহার করে ব্যবহারকারীদের অনুমতি প্রদান করেন।
- মিডিয়াউইকির (উইকিপিডিয়া ব্যবহৃত সফটওয়্যার) ওঅথ সমর্থনের জন্য দেখুন mw:Help:OAuth
সাধারণত রিসোর্স মালিকের পক্ষ থেকে ওঅথ তার গ্রাহকদের রিসোর্সে সুরক্ষিত প্রবেশাধিকার পরিষেবা প্রদান করে।
এটি রিসোর্স মালিকদের পরিচয় দলিলাদি প্রকাশ না করেই তাদের সার্ভারের রিসোর্সগুলোতে তৃতীয় পক্ষের প্রবেশাধিকার অনুমোদন করার একটি প্রক্রিয়াকে নির্দেশ করে থাকে। রিসোর্স মালিকের অনুমতি সাপেক্ষে ওঅথ সার্ভারের মাধ্যমে তৃতীয় পক্ষের গ্রাহকদের প্রবেশাধিকার টোকেন প্রদান করেন, যা বিশেষভাবে হাইপারটেক্সট ট্রান্সফার প্রোটোকল এর সাথে কাজ করার জন্য ডিজাইন করা হয়েছে। রিসোর্স সার্ভারে অবস্থিত এসব সুরক্ষিত রিসোর্স ব্যবহার করতে তৃতীয় পক্ষ এই প্রবেশাধিকার টোকেন ব্যবহার করে। [3]
ওঅথ, ওপেন আইডি থেকে পৃথক এবং সম্পূরক একটি পরিষেবা। ওঅথ মুক্ত প্রমাণীকরণ থেকেও স্বতন্ত্র, যা প্রমাণীকরণ এর জন্য সূত্রক স্থাপত্য, আদর্শ নয়। তবে ওঅথ সরাসরি ওপেন আইডি সংযোগের সঙ্গে সম্পর্কিত কেননা ওঅথ ২.০ এর উপর ভিত্তি করেই এটি নির্মিত। ওঅথ প্রমাণীকরণ নীতি আদর্শাবলী, এক্সএসিএমএল হতেও স্বতন্ত্র। ওঅথ এক্সএসিএমএলের সঙ্গে সংযুক্ত যেতে পারে, যেখানে ওঅথ মালিকানা অনুমোদন এবং প্রবেশাধিকার প্রতিনিধিদের জন্য ব্যবহার করা হবে এবং এক্সএসিএমএল অনুমোদন নীতিটি সংজ্ঞায়িত করতে ব্যবহৃত হবে।
ইতিহাস
ওঅথ ২০০৬ সালের নভেম্বরে চালু হয়, যখন ব্লেন কুক টুইটারে ওপেন আইডি এর প্রয়োগ করেন। ইতিমধ্যে Ma.gnolia তার সদস্যদের সেবার প্রবেশাধিকারের জন্য ওপেন আইডি দ্বারা প্রমাণীকরণ এর প্রয়োজন হয়। ম্যাগনোলিয়া হতে কুক, ক্রিস মেসিনা এবং ল্যারি হ্যাফ ডেভিড রেকর্দন এর সঙ্গে টুইটার এবং ম্যাগনোলিয়া এপিআই দ্বারা প্রবেশাধিকারের ব্যাপারে আলোচনা করতে সাক্ষাৎ করেন। তারা এ সিদ্ধান্তে পৌঁছান যে এপিআই এর জন্য কোন মুক্ত আদর্শ নেই, যা দ্বারা এমন প্রবেশাধিকার প্রদান সম্ভব। [4].
একটি মুক্ত প্রটোকল লেখার খসড়া প্রদানকারীদের একটি ছোট গ্রুপ নিয়ে ২০০৭ সালের এপ্রিলে ওঅথ আলোচনা গ্রুপ সৃষ্টি হয়। গুগলের ডেউইট ক্লিনটন ওঅথ প্রকল্প সম্পর্কে জানতে পারেন এবং এই প্রচেষ্টাকে সমর্থন করার আগ্রহ ব্যক্ত করেন। ২০০৭ সালের জুলাইয়ে দলটি একটি প্রাথমিক সংজ্ঞায়নের খসড়া তৈরি করে। এরান হ্যামার এতে যোগদান করেন এবং আরো আনুষ্ঠানিক সংজ্ঞায়ন সৃষ্টির মাধ্যমে অবদান রাখেন। চৌঠা ডিসেম্বর ২০০৭ সালে ওঅথ কোর ১.০ এর সর্বশেষ খসড়া প্রকাশিত হয়। [5]
২০০৮ সালের নভেম্বরে মিনিয়াপলিসে ৭৭তম ইন্টারনেট প্রকৌশল টাস্ক ফোর্স (আইইএইটিএফ) সভায় প্রটোকলটি আদর্শীকরণের জন্য আলোচনাসভা অনুষ্ঠিত হয়। সভায় জনসমাগম ছিল এবং আইইএটিএফে ওঅথে অংশগ্রহণকারীদের আনুষ্ঠানিকভাবে কর্মচাঞ্চল্য তৈরী করা হয়।
OAuth 1.0 প্রোটোকলটি RFC 5849, একটি তথ্যসূচক মন্তব্যের জন্য অনুরোধ, হিসাবে এপ্রিল ২০১০ এ প্রকাশিত হয়েছিল।
৩১ আগস্ট ২০১০ সাল থেকে, তৃতীয় পক্ষের টুইটার অ্যাপ্লিকেশনগুলি ওঅথ ব্যবহার করা বাধ্যতামূলক করা হয়েছে।[6]
OAuth 2.0 ফ্রেমওয়ার্কটি RFC 6749 হিসেবে প্রকাশিত হয়, এবং বহনকারী টোকেন ব্যবহার RFC 6750 হিসেবে ২০১২ সালের অক্টোবরে প্রকাশিত হয়। উভয়ই ছিল মন্তব্যের জন্য অনুরোধ।
ওঅথ ২.০
ওঅথ ২.০, ওঅথ ১.০ এর সঙ্গে সামঞ্জস্যপূর্ণ নয়। ওঅথ ২.০ ওয়েব এপ্লিকেশন, ডেস্কটপ অ্যাপ্লিকেশন মোবাইল ফোন এবং স্মার্ট যন্ত্রের জন্য বিশেষভাবে প্রমাণীকরণ ধারা প্রদান করে। এই সংজ্ঞায়ন এবং সংশ্লিষ্ট আরএফসিগুলো IETF OAuth দ্বারা উন্নয়নকৃত [7] মূল ফ্রেমওয়ার্কটি অক্টোবর ২০১২ তে প্রকাশিত হয়।ফেসবুকের গ্রাফ এপিআই শুধুমাত্র OAuth 2.0 সমর্থন করে।[8] গুগল তার সকল এপিআইয়ের কার্যনীতির প্রমাণীকরণের জন্য OAuth 2.0 কে সুপারিশ করে।[9] মাইক্রোসফটও [10] তার বিভিন্ন এপিআই এবং অ্যাজুর অ্যাক্টিভ ডিরেক্টরি পরিষেবার সকল প্রকারের প্রমাণীকরণ এর জন্য OAuth 2.0 সমর্থন করে। ওঅথ ২.০ ফ্রেমওয়ার্কটি [11] এবং বাহক টোকেন ব্যবহার[12] ২০১২ সালের অক্টোবরে প্রকাশিত হয়।
নিরাপত্তা
২০০৯ সালের ২৩ এপ্রিল ওঅথ ১.০ প্রটোকলে নিরাপত্তা ত্রুটি সারানোর একটি সেশন ঘোষণা করা হয়েছিল,যা ওঅথ কোর ১.০ পরিচ্ছেদ ৬ প্রমাণীকরণ ধারাকে কে প্রভাবিত করেছিল। [13] এই ত্রুটিটি শনাক্তকরণের জন্য ওঅথ কোর প্রটোকলের Version 1.0a বের করা হয়েছিল। [14]
OAuth 2.0 কোন প্রকারের স্বাক্ষর গুপ্তকরণ, মাধ্যম সীমাবদ্ধকরণ অথবা গ্রাহক যাচাইকরণ সমর্থন করে না। এটি সম্পূর্ণভাবে কয়েক মাত্রার টিএলএস এবং সার্ভার প্রমাণীকরণের উপর নির্ভর করে।[15][16]
OAuth 2.0 এর প্রয়োগের পর অসংখ্য নিরাপত্তা ত্রুটি পাওয়া যায়।[17] নিরাপত্তা বিশেষজ্ঞরা এই প্রটোকলকে অনিরাপদ বলে আখ্যায়িত করেন এবং এর সংজ্ঞায়নের প্রধান অবদানকারী বলেন, যে প্রায়োগিক ত্রুটিগুলো প্রায় অনিবার্য।[18][19]
জানুয়ারী ২০১৩ এ ইন্টারনেট ইঞ্জিনিয়ারিং টাস্কফোর্স ওঅথ ২.০ এর জন্য হুমকিস্বরূপ এমন অনেকগুলো মডেল প্রকাশ করেন।[20] তাদের মধ্যে একটিকে বলা হয় মুক্ত পুননির্দেশ; ২০১৪ এর শেষের দিকে এটি কোভার্ট পুনর্নির্দেশক নামে ইয়ান ঝিং বর্ণনা করেন। [21][22][23][24]
সম্ভবত ওঅথের সবচেয়ে ভয়াবহ নিরাপত্তা ত্রুটি হল ফিশিং দুর্বলতা :[25] বাহ্যিকভাবে ওঅথের মত দেখতে কোন আক্রমণকারীর ওয়েবসাইটে ব্যবহারকারীর নাম এবং পাসওয়ার্ড প্রবেশ এর মাধ্যমে পরিচয়পত্র চুরির দরজা খুলে দেয়া। প্রচলিত two-factor authentication (এককালীন পাসওয়ার্ড ব্যবহারের মাধ্যমে) এটি প্রতিরোধ করতে পারে না, কেননা ফিশিং সাইট গুলো তাও চুরি করতে পারে। তবে তৎক্ষণাৎ টোকেন গুলো ব্যবহারের মাধ্যমে (দেখুন বিশ্বজনীন সেকেন্ড ফ্যাক্টর) এ থেকে পরিত্রান পাওয়া যেতে পারে।
২০০৭ সালের এপ্রিল থেকে মে মাস পর্যন্ত প্রায় ১ মিলিয়ন জিমেইল ব্যবহারকারী এই আক্রমণের শিকার হন, যেখানে তাদেরকে সহকর্মী, বন্ধু কিংবা কোন আত্মীয় একটি গুগল ডকুমেন্ট শেয়ার করতে চাইছে এই মর্মে একটি ইমেইল পাঠানো হতো। [26] তাদের মধ্যে যারা ইমেইল টি তে থাকা লিংকটিতে ক্লিক করেছে এবং তৃতীয় পক্ষের ক্ষতিকর প্রোগ্রামকে গুগল অ্যাপস এ প্রবেশাধিকার দিয়েছে তাদের পরিচয় পত্র চুরি হয়ে গিয়েছিল। [26] প্রায় এক ঘণ্টার মধ্যে [26] গুগল কর্তৃপক্ষ এই ফিশিং আক্রমণ বন্ধ করতে পেরেছিল এবং যারা প্রবেশাধিকার দিয়েছিল তাদেরকে প্রবেশাধিকার রুদ্ধ করার জন্য পরামর্শ দিয়েছিল।
ব্যবহার
সুরক্ষিত আরএসএস /অ্যাটমকে ধারণ করার জন্য প্রমাণীকরণের লক্ষ্যে ওঅথ ব্যবহৃত হতে পারে। আরএসএস/এটম ফিডের প্রমাণীকরণ ব্যবহার সবসময় একটি সমস্যা হিসেবে পরিগণিত। উদাহরণস্বরূপ, গুগল সাইটের একটি আরএসএস ফিড গুগল রিডার দ্বারা ব্যবহারযোগ্য ছিল না। এর পরিবর্তে গুগল সাইট থেকে আরএসএস গ্রাহক যাচাইকরণের জন্য তিন স্তরবিশিষ্ট ওঅথ ব্যবহৃত হতো। এটি কোন সাইটে অ্যাকাউন্ট তৈরি ছাড়াই লগইন করার পদ্ধতি হিসেবে ব্যবহার করা যেতে পারে, যেখানে ওঅথ সিস্টেমের সকল সুবিধা পাওয়া যাবে।
ওঅথ এবং অন্যান্য আদর্শ
ওপেন আইডি বনাম ওঅথ ব্যবহার করে ছদ্ম-প্রমাণীকরণ
ওঅথ প্রমাণীকরণ প্রটোকল নয় বরং একটি অনুমোদন প্রটোকল। ওঅথ স্বয়ং ব্যবহারের পদ্ধতিকে ছদ্ম প্রমাণীকরণ বলা যেতে পারে। নিম্নোক্ত ডায়াগ্রাম গুলো অপেন আইডি( প্রমাণীকরণ প্রটোকল হিসেবে বিশেষভাবে ডিজাইনকৃত) এবং প্রমাণীকরণের জন্য ওঅথের মধ্যকার পার্থক্য সম্পর্কে আলোকপাত করে।
উভয় পদ্ধতিতে যোগাযোগ প্রবাহটি একই :
- (চিত্রে নেই) অ্যাপ্লিকেশন থেকে ব্যবহারকারী কোন রিসোর্স কিংবা লগইনের জন্য অনুরোধ করেন।
- সাইটটি দেখে যে ব্যবহারকারী প্রমাণীকৃত নয়। এর ফলে এটি পরিচয় প্রদানকারীর(ওপেন আইডি কিংবা ওঅথ) জন্য একটি অনুরোধ প্রস্তুত করে, একে সাংকেতিকীকরণ করে এবং পুনর্নির্দেশক ইউআরএলের অংশ হিসেবে ব্যবহারকারীকে পাঠায়।
- ব্যবহারকারীর ব্রাউজারটি অ্যাপ্লিকেশনের অনুরোধসহ পরিচয় প্রদানকারীর কাছে পুননির্দেশক ইউআরএল অনুরোধ করে।
- যদি প্রয়োজন হয়, পরিচয় প্রদানকারী ব্যবহারকারীকে যাচাই করে (হতে পারে ব্যবহারকারীর নাম এবং পাসওয়ার্ড প্রদান সাপেক্ষে)
- যখন পরিচয় প্রদানকারী ব্যবহারকারীর প্রমাণিকরণের যথেষ্ট পরিমাণে তথ্য পায়,তখন এটি অ্যাপ্লিকেশনের অনুরোধকে প্রক্রিয়াকরণ করে এবং একটি প্রত্যুত্তর প্রস্তুত করে এবং ব্যবহারকারীকে পুননির্দেশক ইউআরএল দ্বারা অ্যাপ্লিকেশন এ পাঠায়।
- ব্যবহারকারীর ব্রাউজার অ্যাপ্লিকেশনের ফিরে যাওয়া পুননির্দেশক ইউআরএল কে অনুরোধ করে (যেখানে পরিচয় প্রদানকারীর প্রত্যুত্তরটিও সংযুক্ত থাকে)
- অ্যাপ্লিকেশন টি পরিচয় প্রদানকারীর প্রত্যুত্তরকে সাংকেতিকীকরণ হতে উদ্ধার করে।
- (শুধুমাত্র ওঅথ) প্রত্যুত্তরে একটি প্রবেশাধিকার টোকেন থাকে যা দ্বারা অ্যাপ্লিকেশনটি, ব্যবহারকারীর পক্ষে, পরিচয় প্রদানকারীর পরিষেবাসমূহে সরাসরিভাবে প্রবেশাধিকার লাভ করেন।
এদের মধ্যে প্রধান পার্থক্য হল যে ওপেন আইডি প্রমাণীকরণ এর ক্ষেত্রে পরিচয় প্রদানকারীর প্রত্যুত্তর হলো ব্যবহারকারী সংক্রান্ত তথ্যাবলী; যেখানে ওঅথ অনুমোদনের ক্ষেত্রে পরিচয় প্রদানকারী একটি এপিআই প্রদানকারীও বটে এবং পরিচয় বহনকারী কাছ থেকে প্রাপ্ত প্রত্যুত্তরটি একটি প্রবেশাধিকার টোকেন, যা দ্বারা অ্যাপ্লিকেশনটি ব্যবহার করে বিভিন্ন তথ্যাদিতে প্রবেশাধিকার লাভ করে। এক্ষেত্রে প্রবেশাধিকার টোকেনটিকে একটি "ভৃত্য চাবির" ন্যায় কাজ করে, যা সংশ্লিষ্ট এপিআইগুলোতে প্রবেশাধিকার জন্য ব্যবহারকারীর অনুমোদন রয়েছে- তা প্রমাণ করতে অ্যাপ্লিকেশনটি তার প্রতিটি অনুরোধের সঙ্গে যুক্ত করে।
পরিচয় প্রদানকারী সাধারণত (কিন্তু সবসময় নয়) ব্যবহারকারীকে ওঅথ প্রবেশাধিকার টোকেন প্রদানের অংশ হিসেবে যাচাই করায়, একটি সফল ওঅথ প্রবেশাধিকার টোকেন পাওয়াকে প্রমাণীকরণের সঙ্গে তুলনা করা যেতে পারে। তবে, ওঅথ যেহেতু এই বিষয়গুলোর জন্য ডিজাইন করা হয়নি, ফলে, এর উপর ভিত্তি করলে ব্যাপক নিরাপত্তা ত্রুটি দেখা যেতে পারে [27]
ওঅথ এবং এক্সএসিএমএল
এক্সএসিএমএল একটি নীতি-ভিত্তিক,বৈশিষ্ট্যভিত্তিক প্রবেশাধিকার নিয়ন্ত্রণ অনুমোদন কাঠামো। এটি প্রদান করে:
- একটি প্রবেশাধিকার নিয়ন্ত্রণ স্থাপত্য
- একটি নীতিমূলক ভাষা যার সাহায্যে ওঅথ দ্বারা সংজ্ঞায়িত সম্মতিসমূহ ব্যবহারকারী নীতিমালাসহ বৃহৎ পরিসরে প্রবেশাধিকার নিয়ন্ত্রণ নীতিমালা প্রকাশ করা যায়
- অনুমোদন অনুরোধ পাঠানো এবং গ্রহণ করার জন্য একটি অনুরোধ/প্রত্যুত্তর স্কিম
অধিক দক্ষ অনুমোদন সিস্টেম সংগঠনের জন্য এক্সএসিএমএল এবং ওঅথ কে সংযুক্ত করা যেতে পারে। ওঅথ কোন নীতিমালা ভাষা প্রদান করে না, যার সাহায্যে প্রবেশাধিকার নিয়ন্ত্রণ নীতিমালা প্রণয়ন করা যেতে পারে। এর নীতিমালা প্রণয়নের ক্ষেত্রে এক্সএসিএমএল ব্যবহার করা যেতে পারে।
যেখানে ওঅথ মূলত প্রতিনিধিত্বমূলক প্রবেশাধিকার (আমি, এর ব্যবহারকারী, টুইটারকে আমার ফেসবুক ওয়ালের প্রবেশাধিকারের অনুমতি প্রদান করছি) এবং পরিচয় কেন্দ্রিক অনুমোদনের উপর জোর প্রদান করে, সেখানে এক্সএসিএমএল বৈশিষ্ট্য ভিত্তিক পদ্ধতি ব্যবহার করে, যা ব্যবহারকারীর বিভিন্ন বৈশিষ্ট্য, তার রিসোর্স এবং পরিস্থিতিকে (কে, কাকে , কখন, কোথায়, কীভাবে) বিবেচনা করে। এক্সএসিএমএল দ্বারা নিম্নোক্ত নীতিমালাসমূহ সংজ্ঞায়িত করা যায়:
- ব্যবস্থাপকগণ তাদের ডিপার্টমেন্টে দলিলাদি দেখতে পারেন
- ব্যবস্থাপকগণ তাদের আয়ত্তকৃত দলিলাদিসমূহ খসড়া পর্যায়ে সম্পাদনা করতে পারেন
এক্সএসিএমএল ওঅথের চেয়েও ভালো প্রবেশাধিকার নিয়ন্ত্রণ প্রদান করতে পারে। এর ফলে প্রায়ই ওঅথ এবং এক্সএসিএমএলকে একত্র করা হয় যেখানে ওঅথ প্রতিনিধিত্বমূলক প্রবেশাধিকার এবং সম্মতি ব্যবস্থাপনার কাজ করে অন্যদিকে এক্সএসিএমএল অনুমোদন নীতিমালা প্রণয়ন করে, যা বিভিন্ন অ্যাপ্লিকেশন প্রক্রিয়াকরণ এবং উপাত্তের উপর কাজ করবে। সবশেষে,এক্সএসিএমএল একাধিক স্তরে (এপিআই, ওয়েব এককদফায় প্রবেশ, ESBs, গৃহনির্মিত এপ্লিকেশন, ডেটাবেজ...) কাজ করতে পারে। ওঅথ বিশেষভাবে এইচটিটিপি ভিত্তিক অ্যাপ্লিকেশন সমূহের উপর জোর প্রদান করে।
বিতর্ক
জুলাই ২০১২ সালে এরান হেমার তার ওঅথ ২.০ প্রকল্পের প্রধান কর্তৃপক্ষের পদ থেকে পদত্যাগ করেন, আইইটিএফে কর্মরত গ্রুপ থেকে অবসর নেন এবং সংজ্ঞায়ন থেকে নিজের নাম প্রত্যাহার করেন। আইইটিএফকে একটি "বাণিজ্যিক ক্ষেত্র" হিসেবে আখ্যায়িত করে তিনি ওয়েব এবং বাণিজ্যের সংস্কৃতির মধ্যকার দ্বন্দ্ব কে উত্থাপন করেন। অনুমোদন প্রটোকল হিসেবে বর্তমানে যাকে নকশা হিসেবে মনে করা হয়, তিনি বলেন যে এটি মূলত একটি "বাণিজ্যিক পদ্ধতি যাতে পরামর্শ সেবা এবং সাংগঠনিক সমাধান বিক্রয় করা হয়"। [28] ওঅথ ২.০ কে ১.০ এর সঙ্গে তুলনা করার সময় হ্যামার উল্লেখ করেন যে, এটি "জটিলতর, কম ব্যবহার্য, তুলনামূলক আরো অসম্পূর্ণ এবং অনিরাপদ" হয়ে উঠেছে। তিনি ব্যাখ্যা করেন কীভাবে প্রটোকল পর্যায়ের সকল প্রকারের স্বাক্ষর এবং গুপ্তিবিদ্যা অপসারণের মাধ্যমে গ্রাহকের টোকেন অসীম করা হয়েছে এবং অনুমোদন প্রক্রিয়াটি জটিল করে মেয়াদোত্তীর্ণ টোকেন যুক্ত করা হয়েছে (কেননা টোকেন গুলো রুদ্ধ করা সম্ভব নয়)। সংজ্ঞায়নে অসংখ্য উপাদান অসংজ্ঞায়িত অথবা অসীম রাখা হয়েছে, কারণ এই কর্মরত গ্রুপের বৈশিষ্ট্য হল কোন ত্রুটি আটকানোর জন্য ছোট হও অথবা একে প্রয়োগের মাধ্যমে সিদ্ধান্তের জন্য রেখে দাও। [28]
হ্যামার পরবর্তীতে তার পর্যবেক্ষণকে বিস্তৃত করে ইয়েটে উপস্থাপন করেন।[29]
পরবর্তীতে ডেভিড রেকর্ডনও অজানা কারণে সংজ্ঞায়ন থেকে নিজের নাম অপসারণ করেন। ডিক হার্ডট সম্পাদকের দায়িত্ব তুলে নেন এবং ফ্রেমওয়ার্ক টি ২০১২ সালের অক্টোবরে প্রকাশিত হয়।[11]
তথ্যসূত্র
- Whitson Gordon। "Understanding OAuth: What Happens When You Log Into a Site with Google, Twitter, or Facebook"। সংগ্রহের তারিখ ২০১৬-০৫-১৫।
- "Home - Login with Amazon Developer Center"। login.amazon.com। সংগ্রহের তারিখ ২০১৯-০৭-২৩।
- "RFC 6749 - The OAuth 2.0 Authorization Framework"। সংগ্রহের তারিখ ২০১৬-০৫-১৫।
- "Introduction"। oauth.net। সংগ্রহের তারিখ ২১ নভেম্বর ২০১৮।
- "OAuth Core 1.0"। ৪ ডিসেম্বর ২০০৭। সংগ্রহের তারিখ ১৬ অক্টোবর ২০১৪।
- Chris Crum (২০১০-০৮-৩১)। "Twitter Apps Go OAuth Today"। WebProNews.com। ২০১৭-০৭-৩১ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২০১৭-০৭-৩১।
- "Web Authorization Protocol (oauth)"। IETF। সংগ্রহের তারিখ ৮ মে ২০১৩।
- "Authentication - Facebook Developers"। developers.facebook.com।
- "Google Accounts Authentication and Authorization"। developers.google.com।
- Danny Strockis (২০১৬-০৮-০৮)। "v2.0 Protocols - OAuth 2.0 Authorization Code Flow"। docs.microsoft.com।
- "RFC6749 - The OAuth 2.0 Authorization Framework"। Dick Hardt। অক্টোবর ২০১২। সংগ্রহের তারিখ ১০ অক্টোবর ২০১২।
- "RFC6750 - The OAuth 2.0 Authorization Framework: Bearer Token Usage"। Michael Jones, Dick Hardt। অক্টোবর ২০১২। সংগ্রহের তারিখ ১০ অক্টোবর ২০১২।
- "OAuth Security Advisory: 2009.1"। ২০০৯-০৪-২৩। সংগ্রহের তারিখ ২০০৯-০৪-২৩।
- OAuth Core 1.0a
- "Is OAuth 2.0 Bad for the Web?"। ২০১০-০৯-২০। সংগ্রহের তারিখ ২০১০-০৯-২১।
- "an unwarranted bashing of Twitter's oAuth"। ২০১১-০৮-০৩। সংগ্রহের তারিখ ২০১১-০৮-০৩।
- "Hacking Facebook with OAuth 2.0 and Chrome"। ২০১৩-০২-১২। সংগ্রহের তারিখ ২০১৩-০৩-০৬।
- "Re: OAUTH-WG OAuth2 attack surface..."। ২০১৩-০২-২৮। সংগ্রহের তারিখ ২০১৩-০৩-০৬।
- "OAuth1, OAuth2, OAuth...?"। ২০১৩-০৩-০১। সংগ্রহের তারিখ ২০১৩-০৩-০৬।
- OAuth 2.0 Threat Model and Security Considerations. Internet Engineering Task Force. Accessed January 2015.
- "OAuth Security Advisory: 2014.1 "Covert Redirect""। OAuth। ৪ মে ২০১৪। সংগ্রহের তারিখ ১০ নভেম্বর ২০১৪।
- "Serious security flaw in OAuth, OpenID discovered"। CNET। ২ মে ২০১৪। সংগ্রহের তারিখ ১০ নভেম্বর ২০১৪।
- "Math student detects OAuth, OpenID security vulnerability"। Phys.org। ৩ মে ২০১৪। সংগ্রহের তারিখ ১১ নভেম্বর ২০১৪।
- "Covert Redirect"। Tetraph। ১ মে ২০১৪। সংগ্রহের তারিখ ১০ নভেম্বর ২০১৪।
- "Serious security flaw in OAuth, OpenID discovered"। CNET। সংগ্রহের তারিখ ২০১৬-০৫-১৫।
- "Google Docs phishing email 'cost Minnesota $90,000'"। BBC News। ৮ মে ২০১৭। ৮ মে ২০১৭ তারিখে মূল থেকে আর্কাইভ করা।
- "End User Authentication with OAuth 2.0"। OAuth Community Site। সংগ্রহের তারিখ ৮ মার্চ ২০১৬।
- "OAuth 2.0 and the Road to Hell"। Eran Hammer। ২৮ জুলাই ২০১২। ২৫ মার্চ ২০১৩ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ১৭ জানুয়ারি ২০১৮।
- "OAuth 2.0 - Looking Back and Moving On"। Eran Hammer। ২৩ অক্টোবর ২০১২। সংগ্রহের তারিখ ২২ নভেম্বর ২০১২।
আরও দেখুন
- উন্মুক্ত প্রবেশাধিকার
- ওপেন আইডি
- প্রমাণীকরণ
- গুপ্ত তথ্য বিশ্লেষণ
- তথ্যগুপ্তিবিদ্যা
- এক্সএসিএমএল