РЕГИСТРАЦИЯ
Вы можете зарегистрировать свой электронный кошелёк как в Яндекс браузере, так и в любом браузере, которым пользуетесь.
Ранее эта платёжная система называлась Яндекс Деньги.
Набираете в поисковик Юmoney.ru и переходите на главную страницу, где вам будет предложено либо войти (у кого уже есть кошелёк), либо создать кошелёк.
На всех скриншотах смотрите, куда показывают красные стрелочки. Итак, вы выбираете СОЗДАТЬ КОШЕЛЁК. После чего для вас откроется форма регистрации, где вам нужно указать свой телефон. Будьте внимательны при введении своих даннных.
После ввода номера на мобильный телефон вам придёт сообщение с кодом. Введите его, как показано на скриншоте.
Вам нужно указать свою почту. Если вы создаёте кошелёк, например, в браузере Яндекса и у вас заведена почта gmail, то просто захОдите в почту, копируете код из письма, которое отправится вам на почту автоматически и ввОдите, как показано на скриншоте. В каком бы браузере вы ни работали, указываете почту, которая у вас заведена, если их несколько, то любую.
Далее вам следует придумать пароль. На скриншоте вы увидите, какой пароль вам нужно придумать. Прочтите внимательно. Постарайтесь придумать надёжный пароль и запишите его, чтоб не забыть. Лучше воспользоваться каким-нибудь блокнотиком, о котором знаете только вы и который хранится у вас дома подальше от чужих глаз.
Пароль нужно ввести два раза. И только когда появится зелёная надпись “Отлично, пароли совпали!”, нажимаете на кнопку “готово”.
Поздравляю, вы создали электронный кошелёк Юmoney!
Давайте посмотрим, что там? Нажимайте на кнопку: Вот ихорошо!
Идентификация и изменение статуса
Следующим этапом использования системы Яндекс.Деньги станет прохождение процедуры идентификации и смена статуса. Выше уже упоминалось о том, что кошельки могут быть анонимными, именными и идентифицированными:
- Анонимный — выдается автоматически сразу после завершения регистрации. Он означает, что система ничего не знает о своем клиенте, кроме номера телефона и адреса электронной почты;
- Именной – означат, что участник системы заполнил онлайн-анкету, указав данные своего российского паспорта;
- Идентифицированный – это значит, что в распоряжении администрации Яндекс.Деньги имеются полные паспортные данные пользователя, что позволило ей убедиться в реальности человека.
От статуса кошелька зависят условия, лимиты и ограничения по операциям. По этой причине в интересах каждого участника системы как можно быстрее пройти полную идентификацию и получить «идентифицированный» статус. Сделать это можно несколькими способами:
1. Идентификация через интернет. Данный способ, совершенно бесплатный, он подходит пользователям, которые уже единожды проходили процедуру идентификации для другого кошелька или являются клиентом «Сбербанка» и имеют «Мобильный банк». Как работает:
- На официальном сайте Яндекс.Деньги необходимо отправить соответствующий запрос;
- В течение нескольких минут на телефон придет СМС с номера 900;
- Пользователю нужно подтвердить операцию, ответив на СМС;
- Для проведения проверки сервис онлайн платежей переводит с карты Сбербанка на Яндекс кошелек 10 рублей;
- Банк проверяет пользователя в течение 5 рабочих дней;
- После успешного завершения проверки участнику системы банк направляет ссылку для проверки данных и подтверждения идентификации;
- Идентификацию нужно подтвердить в течение 180 дней с момента получения уведомления.
2. Идентификация в офисе Яндекс.Денег занимает несколько минут, воспользоваться этим способом может абсолютно гражданин нашей страны. Офисы находятся в Москве, СПб, Екатеринбурге, Нижнем Новгороде и Новосибирске.
3. Идентификация в «Связном» или «Евросети». Процедура занимает несколько минут, за ее выполнение придется заплатить 300 рублей. Как происходит идентификация:
- Посетите ближайший к вам офис «Связного» или «Евросети»;
- Обратитесь к кассиру с просьбой идентифицировать электронный кошелек;
- Предоставьте кассиру номер кошелька и собственный паспорт;
- Внесите оплату в размере 300 рублей;
- Дождитесь завершения операции.
4. Идентификация в Юнистрим – это способ идентификации кошелька подходит гражданам абсолютно любых стран. Занимает он не более нескольких минут, его стоимость составляет 100 рублей.
5. Идентификация через пункт Contact — подходит для граждан РФ. Услуга платная – стоит 250 рублей, из них 100 вернется на электронный кошелек. После завершения процедуры в пункте Contact потребуется подтверждение ее прохождения в профиле системы.
6. Идентификация по почте – для этого достаточно составить заявление в свободной форме, заверить его у нотариуса и приложить к нему копию паспорта. Сама процедура бесплатная, однако, потребуется оплатить услуги нотариуса и Почты России.
7. Граждане других стран могут пройти идентификацию через аккредитованных агентов: Smart ID в Украине, БПС-Сбербанк в Беларуси, InfinBank в Узбекистане.
В целом в прохождении процедуры идентификации и смене статуса нет ничего сложного и справиться с подобной задачей сможет абсолютно каждый человек.
Как пользоваться кошельком
После регистрации и установки приложения, можно смело пользоваться возможностями Яндекс Деньги. Пополнять счет, делать переводы на другие электронные платежки, оплачивать покупки или услуги, переводить деньги на банковские карты и т.д.
Все эти действия можно делать, выбрав нужную вкладку в меню сверху. Для большинства людей, будет достаточно использовать первых трех вкладок, они являться основными.
Мои операции — здесь выводиться лента всех совершенных операций, можно найти, дату, сумму, получателя платежа, при необходимости повторить его в один клик.
Оплата услуг — здесь можно оплачивать различные услуги, есть много категорий и поиск.
Переводы — здесь можно заполнить форму для перевода денег на другой кошелек или карту.
Остальное пункты меню не так популярны. Вверху справа показываться текущий баланс, рядом кнопка для пополнения. Кликнув по балансу, можно узнать реквизиты или статус своего кошелька и появиться кнопка снять средства, а также количество доступных баллов.
Нажав на шестеренку можно перейти в настройки. Разработчики работают над удобством интерфейса, происходят частые обновления и новые функции. Поэтому Яндекс занимает лидирующие позиции.
Как пополнить счет?
Для этого есть 4 удобных способа:
- банковские карты — MaterCard, Visa, Maestro;
- с привязанного к кошельку телефона;
- наличными — Сбербанк, Связной, Евросеть, МТС;
- Сбербанк Онлайн — онлайн оплата картой.
Рядом с балансом жмем по кнопке пополнить. Далее на экране появятся все доступные способы. Выберите самый удобный способ и пропишите сумму, затем подтвердите операцию.
Также еще есть много способов, чтобы пополнить свой счет. Это можно сделать с других популярных электронных платежек, к примеру с QIWI или Payeer. Для этого нужно воспользоваться обменником. Самый выгодный курс можно найти на мониторинге обменников BestChange.ru.
Как вывести деньги?
Самый выгодный и простой способ вывести или тратить деньги, просто заказать карту Яндекс Деньги. С нее можно снимать наличные до 10.000 руб. в любом банкомате без комиссии.
Также можно выводить на карты других банков, но придется отдать комиссию 3% и еще 45 руб.
На другие системы платежей, такие как Юнистрим, Western Union, WebMoney, QIWI. Размер комиссии зависит от способа.
Еще можно перевести физическому лицу на его банковский счет. Альфа-Клик, Промсвязьбанк, Тинькофф в течение минуты, на другие банки в течение 3 дней.
Можно погашать кредиты по вашим данным, зачисление происходит через день. Есть возможность перевести на счет ИП или Юр. лица, до 3 рабочих дней.
Если деньги не поступят в указанные сроки или возникнут другие проблемы, всегда можно обратится в техподдержку Яндекса.
Как оплачивать услуги?
Для удобства пользователей, есть большой раздел с возможностью оплачивать все популярные услуги через интернет. Для этого нужно перейти в меню сверху в раздел «Оплата услуг». Здесь собраны самые популярные сервисы и категории каталога. Также можно воспользоваться поисковой строкой.
Прямо в кошельке можно узнать не оплаченные штрафы или задолженности и сразу оплатить их. Есть сотовые и интернет операторы, ЖКХ, кредиты, микрозаймы, квитанции. Если вы постоянно совершаете одни и те же платежи, сделайте автоплатеж для экономии времени.
Как сделать перевод?
Для перевода средств другим участникам системы, нажмите в меню сверху «Денежные переводы». Откроются поля для заполнения, откуда — оставляйте мой кошелек, а куда — введите нужные реквизиты получателя.
Дополнительно можно защитить перевод кодом протекции и добавить сообщение, поставив соответствующие галочки. Далее укажите сумму, к окончательной оплате прибавится комиссия 0.5%. Для пользователей мобильного приложения, комиссия отсутствует.
Голос
Третья популярная биометрическая система аутентификации — это распознавание голоса. Например, смартфоны Google Nexus 6 и планшеты Nexus 9 постоянно «прислушиваются» к своему хозяину, готовясь исполнить любую голосовую команду. Но для авторизации голосом не нужен Nexus последнего поколения, достаточно иметь любой аппарат под управлением Android 5 Lollipop.
Для задействования голосового входа нужно включить функцию Smart Lock, как описывалось выше, затем переходим в «Настройки — Язык и ввод — Голосовой ввод — нажимаем на «стопочку» настроек — Распознавание OK Google». Включаем распознавание с любого экрана и записываем образцы голоса, трижды произнеся фразу «ОК Google». Возможно, при этом придётся потренироваться и даже добавить US English в список распознаваемых языков. После всего этого в Smart Lock можно будет выбрать «Доверенный голос».
Можно пойти ещё дальше и установить недорогое приложение VoicePass Password Manager (35,27 руб), которое позволит залогиниваться в социальные сети и на разные сайты при помощи голосовых команд.
За и против: Разблокировка смартфона голосом выглядит очень естественно, даже если перед этим нужно сказать «OK Google». Однако даже в самой Google предостерегают, что распознавание голоса — далеко не лучший способ блокировки: при активации этой функции вы получаете сообщение о том, что кто-то с похожим голосом или с записью вашего голоса сможет разблокировать это устройство.
Для чего нужен AAA
При строительстве и эксплуатации сети важно иметь строгий контроль над теми, кто имеет доступ к ее устройствам. Если ваша сеть небольшая и число ее пользователей невелико, то следить за доступом и безопасностью не составляет труда, и часто за это отвечает один сетевой администратор
Но если организация имеет масштабную корпоративную сеть или это сеть оператора связи с большим числом абонентов, то отслеживать вручную, кто к чему имеет доступ, становится невозможно. В этом случае на помощь приходит AAA – механизм, который позволяет осуществлять аутентификацию, авторизацию и учет пользователей, то есть контролировать доступ и записывать производимые действия.
Для обеспечения безопасности сети необходимо обеспечить контроль за доступом к различным элементам сети со стороны пользователей. Такими элементами могут быть сетевые устройства, серверы, компьютеры, приложения или даже сегменты самой сети.
Сценарии разные, а принцип один – аутентификация, авторизация и учет (Authentication, Authorization, Accounting – AAA).
Есть два основных типа AAA для сетей:
- Администрирование сетевых устройств. Осуществляет управление теми, у кого есть доступ для входа в консоль сетевого устройства, Telnet-сессии, Secure Shell (SSH-сессии) или другим способом.
- Доступ к сети. Идентификация пользователя или устройства до того, как ему будет предоставлен доступ к сети.
В современных сетях используют два основных решения для AAA: Remote Authentication Dial-In User Service (RADIUS) и Cisco’s Terminal Access Controller Access-Control System Plus (TACACS+) протоколы. Существует еще и третий AAA-протокол, известный как DIAMETER, но он обычно используется только мобильными операторами. Мы рассмотрим и сравним RADIUS и TACACS+, чтобы помочь вам определить, какой из них лучше подходит для вашей сети.
Что такое авторизация?
Люди часто сталкиваются с необходимостью авторизации на большинстве различных сайтов. Это процедура, как правило, бесплатная. Но бывают сайты, на которых предоставляются платные услуги. Например, это могут быть онлайн кинотеатры. Пользователь должен оплатить подписку, чтобы получить доступ к платному контенту.
Перед авторизацией пользователю необходимо выполнить регистрацию, заполнив на сайте небольшую анкету и указать необходимую информацию о себе. Затем на сайте создается учетная запись с логином и паролем, которые подбирает сам пользователь. Только после этого человек получает доступ к контенту на данном ресурсе.
Логин (с англ. вход в систему) – это имя, которое используется для входа на сайт. Пользователь придумывает его сам. При этом логины разных пользователей не могут повторяться, иначе нельзя будет пройти авторизацию.
Пароль – это некая последовательность цифр, букв или символов. Пользователь также сам устанавливает пароль. Но может быть и автоматическая генерация пароля с возможностью изменить его в дальнейшем.
Пароль нужен для защиты учетной записи от других пользователей, чтобы только один человек мог войти в одну запись. Введя пароль, человек подтверждает, что он является владельцем учетной записи. При регистрации рекомендуется придумать более сложный пароль, чтобы злоумышленникам было сложнее его подобрать. Автоматический подбор пароля позволяет быстро получить максимально безопасный (то есть сложный) пароль.
Способы аутентификации
Существует несколько способов аутентификации:
- классический способ, основанный на том, что клиент знает, — аутентификация по логину и паролю (однофакторная аутентификация). В этом случае для получения доступа к интернет-банку пользователь вводит логин и пароль, которые передаются на сервер банка. Сервер сверяет полученную информацию с хранимыми записями, и, если запись найдена и совпадает, пользователь получает доступ. Суть данного способа заключается в том, что и пользователь и владелец сервера должны знать пароль пользователя;
- способ аутентификации, основанный на том, что пользователь имеет (например, пластиковая карта, электронный цифровой сертификат или токен);
- биометрическая аутентификация. Этот способ позволяет однозначно определить, что пользователь и есть тот самый субъект, за которого себя выдает (например, отпечаток пальца, голос, сетчатка глаза).
Примечание. Аутентификация, или подтверждение подлинности, — процедура проверки соответствия субъекта личности, за которую он пытается себя выдать, с помощью некой уникальной информации (например, идентификаторов).
В нашей стране биометрические данные в качестве аутентификации клиента на сегодняшний день банками не используются, хотя могут рассматриваться в качестве дополнительных источников информации. За границей этот вариант применяется в основном в тех странах, где есть проблемы с уровнем грамотности населения.
Наиболее надежный способ аутентификации — это двухфакторная аутентификация. Например, для входа в интернет-банк клиенту необходимо ввести свой логин, пароль, а также OTP-код, который может быть получен разными способами:
на мобильный телефон в виде SMS-сообщения
В этом случае важно зарегистрировать телефонный номер клиента и не допускать возможности его изменения самим клиентом;
в виде пластиковой скретч-карты, выданной клиенту в офисе банка. На карту нанесены одноразовые коды, которые скрыты под специальным защитным слоем
Клиент стирает защитный код и вводит код с карты;
в виде бумажной ленты, которая может быть получена в банкомате банка или выдана в запечатанном конверте в офисе банка;
сгенерирован устройством типа OTP-токен.
Примечание. OTP (one time password) — одноразовый пароль, который действителен только для одного действия (для одного входа в мобильный/интернет-банк или для подтверждения одной операции, проводимой клиентом в мобильном/интернет-банке).
В настоящее время наиболее распространенными являются два первых способа — отправка OTP-кода на мобильный телефон клиента либо выдача кодов в формате пластиковой скретч-карты в офисе банка. Также популярны аппаратные реализации одноразовых паролей (OTP-токены).
Как со Сбербанка перевести на ЮМани
Теперь о переводах в онлайн-кошелек, которые для клиентов банка, в отличие от других будут бесплатными. Пожалуй, самый удобный способ пополнение – из мобильного приложения на телефоне «Сбербанк Онлайн». Для этого воспользуйтесь простой процедурой, состоящей из нескольких шагов:
- Откройте банковское приложение, и авторизуйтесь в нем.
- Нажмите на вкладку меню «Платежи».
- Нажмите на строку «Не нашли что искали».
- В поисковой строчке введите «ЮMoney», и кликните на найденный ресурс.
- Для оплаты можно использовать номер кошелька, или номер телефона с «8», который привязан к карте. Затем во второй строке пропишите сумму платежа и нажмите «Продолжить».
- Подтвердите платеж кодом из SMS.
Обратите внимание! Пополнение кошелька ЮMoney с карты Сберанка является бесплатной услугой. Счет Юмани можно пополнить через стационарное устройство – терминал или банкомат Сбербанка
Вам понадобиться карта Сбера, и номер вашего кошелька. Операция включает такие шаги:
Счет Юмани можно пополнить через стационарное устройство – терминал или банкомат Сбербанка. Вам понадобиться карта Сбера, и номер вашего кошелька. Операция включает такие шаги:
Яндекс Кошелек поменял название на Юмани. Но это не все изменения, которые произошли. Новый сайт, приложение, а также и способы пополнения. Каждый из предложенных отличается комиссией и сроками зачисления. Мы предоставили полный список, как можно произвести перевод. Выбирайте наиболее подходящий для вас!
Преимущества и недостатки
Взять деньги в долг на кошелек ЮMoney круглосуточно может любой пользователь, зарегистрированный в одном из сервисов «Яндекса». Это наиболее быстрый способ оформления микрозайма, так как средства поступают буквально через несколько минут. Электронными деньгами удобнее всего оплачивать онлайн-покупки, но при необходимости можно перевести на другое средство платежей. Единственный минус — за проведение этой операции взимается комиссия.
Если у клиента дополнительно к кошельку открыта карточка ЮMoney, электронными средствами можно расплачиваться не только в интернете. При наличии идентификации с нее допускается снять до 10000 рублей без оплаты комиссии, в иных случаях за выдачу наличных снимут 3% (минимум 100 рублей).
Среди плюсов вывода средств на Юмани также выделяются:
- Мгновенное зачисление средств
- Надежность системы защиты данных
- Регулярные бонусы, кэшбек на покупки
Как положить деньги на Юмани кошелек: все способы пополнения
И далее выберите один из наиболее удобных для вас методов.
Максимальный размер баланса зависит от статуса:
- анонимный сохраняет 15 тысяч;
- в именном можно хранить до 60 тысяч рублей;
- идентифицированный до 500 тысяч рублей.
Если сумма, которая поступит на ваш счет превышает допустимого лимита, денежные средства вернутся обратно отправителю.
С баланса мобильного
Удобный способ. Если номер телефона, с которого хотите произвести перевод, принадлежит вам и привязан к кошельку, тогда ничего вводить не придется. Только сумму, на которую хотите осуществить перевод. Комиссия зависит от оператора:
- Теле2 составит 15,86 %. Можно переводить 5 раз в сутки, максимальная сумма 14 тысяч за один раз с комиссией и 30 тысяч в неделю и месяц.
- Билайн. 7,95% плюс 10 рублей. Минимальная сумма для пополнения 100 рублей. Ограничения 50 раз в месяц. максимально в сутки 14 тысяч, в месяц и неделю 30 тысяч рублей.
- Мегафон. 7,86 % от суммы пополнения. За один раз можно перевести 15 тысяч, за месяц и сутки 40 тысяч рублей.
- МТС. 10,3 %. Лимит: 5 раз в сутки. Максимальные суммы: 14999 рублей за раз, 30 тысяч за сутки, 40 тысяч в месяц.
Пополнить можно только с личного номера, который прикреплен к кошельку.
SberPay(Сбербанк Онлайн)
Преимущества:
- комиссия не взимается;
- денежные средства зачисляются моментально;
- никаких кодов подтверждения.
Пошаговая инструкция
Зайти в мобильное приложение и в поиске ввести ЮMoney.
Выбрать ЮMoney и ввести в окне номер кошелька и сумму перевода.
Нажимаем продолжить иногда возникают проблемы с оплатой и вам будет выдано ошибка, в таком случае подождите 10 минут и попробуйте еще раз.
После появится следующее окно с уточнением с какого именно счета списывать средства, нажимаем кнопку оплатить. После появиться окно с подтвержденным платежом.
С банковской карты
Выбираете карту, если ранее не производилось переводов, значит нужно:
- Ввести номер карты, срок действия и трехзначный код на обороте.
- Прописать требуемую сумму.
Если уже переводили на эту карту или с нее, выберите из указанного списка.
Наличными
Если вам не подходят выше предложенные способы или удобнее внести наличные средства. Имейте в виду, что пополнить можно только идентифицированные и именные кошельки. Для пополнения потребуется номер кошелька, он указан в мобильном приложении и на сайте Юmoney.
Где можно:
Дайджест-аутентификация (Digest)
Дайджест-аутентификация — более безопасная и надежная альтернатива простой, но небезопасной базовой аутентификации.
Итак, как это работает?
Дайджест-аутентификация использует криптографическое хеширование MD5 в сочетании с использованием одноразовых номеров. Таким образом, информация о пароле скрывается для предотвращения различных видов злонамеренных атак.
Это может показаться немного сложным, но станет яснее, когда вы увидите, как это работает на простом примере.
Пример Digest Authentication
1. Пользовательский клиент -> Сервер
Клиент отправляет неаутентифицированный запрос.
2. Сервер -> Пользовательский клиент
Сервер предлагает клиенту пройти аутентификацию с использованием дайджест-аутентификации и отправляет клиенту необходимую информацию.
3. Пользовательский клиент -> Сервер
Клиент вычисляет значение ответа и отправляет его вместе с именем пользователя, областью, URI, nonce, opaque, qop, nc и cnonce. Много всего.
Подробное объяснение
Давайте определим это:
- nonce и opaque — определенные сервером строки, которые клиент возвращает после их получения.
- qop (качество защиты) — одно или несколько предопределенных значений («auth» | «auth-int» | токен). Эти значения влияют на вычисление дайджеста.
- cnonce — одноразовый номер клиента, должен генерироваться, если задано qop. Он используется, чтобы избежать атак на выбранный открытый текст и предоставить сообщению защиту целостности.
- nc — счетчик одноразовых номеров, должен быть отправлен, если задано qop. Эта директива позволяет серверу обнаруживать повторы запросов, сохраняя свою собственную копию этого счетчика — если одно и то же значение nc появляется дважды, то запрос является повтором.
Атрибут ответа рассчитывается следующим образом:
Если вам интересно узнать, как вычислить ответ в зависимости от qop, вы можете найти его в RFC 2617.
4. Сервер -> Пользовательский клиент
Сервер вычисляет хэш самостоятельно и сравнивает их. Если они совпадают, он передает клиенту запрошенные данные.
Краткое резюме
Как видите, дайджест-аутентификацию сложнее понять и реализовать.
Она также более безопасна, чем обычная проверка подлинности, но все же уязвима для атаки «человек посередине». RFC 2617 рекомендует использовать вместо этого дайджест-аутентификацию базовой аутентификации, поскольку она устраняет некоторые ее недостатки. Это также не скрывает того факта, что дайджест-аутентификация по-прежнему является слабой по современным криптографическим стандартам. Ее надежность во многом зависит от реализации.
Итак, вкратце дайджест-аутентификация:
- Не отправляет пароли в виде обычного текста по сети.
- Предотвращает повторные атаки
- Защита от подделки сообщений
Некоторые из слабых мест:
- Уязвимость к атаке «человек посередине».
- Многие параметры безопасности не требуются, и поэтому дайджест-проверка подлинности будет менее безопасной, если не задана.
- Предотвращает использование надежных алгоритмов хеширования паролей при хранении паролей.
В связи с этим дайджест-аутентификация пока не получила широкого распространения. Базовая аутентификация намного проще и в сочетании с SSL еще более безопасна, чем дайджест-аутентификация.
ИДЕНТИФИКАЦИЯ
Можно прекрасно пользоваться таким кошельком. Но если вы хотите большего, например, выводить деньги прямиком к себе на карту, вам необходимо его идентифицировать.
Для идентификации именного электронного кошелька Юmoney следует заполнить предоставленную онлайн-анкету и отправить её на проверку. Сейчас практически у каждого есть кабинет госуслуг, поэтому заполнение анкеты значительно упрощается.
Ну что ж, можно вас поздравить второй раз, у вас идентифицированный электронный кошелёк, вы справились на “отлично”.
Этот скрин сделан с моего кошелька, так как я уже писАла выше, он у меня идентифицированный. У вас должно быть так же после идентификации.
История создания
OAuth появился в ноябре 2006 года, во время разработки Блейном Куком (англ. Blaine Cook) протокола OpenID для сервиса микроблогов Twitter. Совместно с Крисом Мессиной (англ. Chris Messina) он искал способ использования OpenID для доступа к Twitter API без предоставления сервису пароля. В сотрудничестве с одним из создателей OpenID Дэвидом Рекордоном (англ. David Recordon) они провели анализ функциональности OpenID, а также нескольких других проприетарных протоколов авторизации, и пришли к заключению о необходимости в новом, универсальном и открытом протоколе.
В апреле 2007 года образовалась группа инженеров, работавших над его созданием. В ее работе приняли участие сотрудники компаний Google и AOL. Финальная версия ядра протокола OAuth 1.0 была представлена 4 декабря 2007 года. 15 апреля 2009 года Twitter предложил пользователям решение, позволяющее делегировать сторонним сайтам и сервисам доступ к своим аккаунтам. Оно было названо «Войти через Twitter» и основано на OAuth.
В апреле 2010 года был выпущен информационный документ RFC 5849, посвященный стандарту OAuth. В 2010 году началась работа над новой версией протокола OAuth 2.0. В октябре 2012 года структура OAuth 2.0 была опубликована в RFC 6749, а использование носителя токена регламентировано в RFC 6750. Вторая версия была несовместима с первой.
Для создания OAuth 2.0 был ряд оснований. Во-первых, нужно было упростить разработку клиентских приложений. Во-вторых, несмотря на заявленную в стандарте реализацию трех методов получения токена (уникального идентификатора) для авторизации — для веб-приложений, настольных клиентов и мобильных клиентов — фактически все три способа были слиты в один. В-третьих, протокол оказался плохо масштабируемым.
В результате в новый протокол было внесено несколько важных изменений:
- Упрощенная подпись. Подпись была значительно упрощена, чтобы устранить необходимость в специальном анализе, кодированиях и сортировках параметров.
- Короткоживущие токены с долговременной авторизацией. Вместо выдачи долгоживущего токена (который за длительное время может быть скомпрометирован), сервер предоставляет кратковременный доступ и долговременную возможность обновлять токен без участия пользователя.
- Разделение ролей. За авторизацию и за предоставление доступа к API могут отвечать разные серверы.
На данный момент OAuth 2.0 используется большим количеством ведущих сервисов, таких как Google, Instagram, Facebook, «ВКонтакте» и другие.