![image][1]

_«В API ВКонтакте для получения ключа доступа используется открытый протокол OAuth 2.0. При этом пользователь не передает логин и пароль приложению, поэтому его аккаунт не может быть скомпрометирован»_ — [документация VK API][2].

_«ОАuth — это открытый протокол, предоставляющий простой и безопасный способ авторизации для мобильных, десктопных и веб приложений»_ — вольный перевод слогана [oauth.net][3].

К сожалению, во многих случаях эти утверждения являются ложными. О том как сделать работу через OAuth более безопасной, как с точки зрения конечного пользователя, так и при реализации собственного OAuth провайдера — читайте под катом. Будут рассмотрены такие аспекты безопасности, которым на текущий момент уделено незаслуженно мало внимания в открытых публикациях.

Материал насыщен специфической терминологией и рассчитан на подготовленного читателя.
[Читать дальше →][4]

[1]: https://habrastorage.org/files/c8b/2e9/d3d/c8b2e9d3d633433e94e67534b05604cd.png
[2]: https://vk.com/dev/access_token
[3]: https://oauth.net/
[4]: https://habrahabr.ru/post/320744/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut