Taula de continguts:
- Què és OAuth 2.0?
- Els avantatges d’utilitzar OAuth 2.0
- Com va arribar OAuth 2.0
- Els reptes per davant?
Molts cotxes de luxe disposen de clau de valet. És una clau especial que proporcioneu a l'aparcament i, a diferència de la clau habitual, només us permetrà conduir el cotxe a poca distància bloquejant l'accés al maleter i al telèfon mòbil a bord. Independentment de les restriccions que la clau de valet imposa, la idea és molt intel·ligent. Podeu proporcionar a algú un accés limitat al cotxe amb una clau especial, mentre que feu servir una altra clau per desbloquejar la resta. - La Guia oficial d'OAuth 1.0
Així és com les directrius d’especificacions basades en la comunitat van explicar el camí d’OAuth el 2007 i, tot i que OAuth 2.0 és un protocol completament nou, continua essent la mateixa descripció: OAuth segueix sent una manera perquè els usuaris puguin concedir accés (i accés limitat) a tercers a la seva recursos sense compartir les seves contrasenyes.
Si aneu a Internet regularment, és probable que hagueu trobat amb un lloc que utilitza OAuth. Al cap i a la fi, els llocs web més grans del món, com Facebook, Google, MySpace, Twitter, Photobcuket, Yahoo, Evernote i Vimeo, fan servir aquest estàndard d’autenticació. Continua llegint per obtenir més informació sobre aquest estàndard i per què encara s’utilitza la següent generació, OAuth 2.0, de forma relativament experimental.
Què és OAuth 2.0?
Primer, heu de saber què fa OAuth, com a protocol: Permet l’autorització d’interfície de programació d’aplicacions entre dues aplicacions web o d’escriptori. Com a resultat, els llocs web poden compartir recursos protegits amb altres llocs web i serveis.
Per exemple, si jugueu a Scramble amb amics a l’iPad, podríeu introduir les vostres credencials de Facebook, permetent que el joc es mostri a la llista d’amics per veure quins d’ells estan jugant al joc i convideu a que s’hi uneixin. O podeu connectar amb amics de Google+ en funció de qui us segueix a Twitter. Aquest tipus d'aplicacions són útils per als usuaris, però consisteixen en donar accés a un lloc o programa a informació sobre vosaltres en un altre lloc.
OAuth 2.0 funciona molt com la primera encarnació d'OAuth, però és un estàndard totalment nou. Això vol dir que no és compatible amb OAuth 1.0. La versió 2.0 va netejar molts dels problemes amb l’OAuth original i va fer millores.
Tot i conservar bàsicament l'arquitectura de la primera versió, la 2.0 va millorar en:
- Autenticació i signatures. OAuth 2.0 va facilitar que algú del costat del client implementés el protocol.
- Experiència de l’usuari i maneres alternatives d’emetre fitxes
- Rendiment, especialment amb llocs web i serveis més grans
Els avantatges d’utilitzar OAuth 2.0
Una de les millors raons per utilitzar OAuth és que facilita l’ús compartit. Ja estem acostumats a penjar fotos a Instagram i a publicar-les automàticament a Twitter i Facebook. De fet, aquest tipus de facilitat d'ús i de creuament és el que fa que els mitjans socials siguin tan atractius.
Però això no és tot. Per als usuaris finals, OAuth significa que no heu de crear un altre perfil. Per exemple, si voleu deixar un comentari sobre un article, podeu fer servir les vostres credencials de Facebook o Twitter per fer-ho, en lloc d'haver de registrar-vos en un compte en un lloc web determinat. Això és excel·lent per a llocs en els quals no acostuma a estar actiu o en què pot no confiar. També pot beneficiar els llocs garantint que els usuaris tinguin una identitat a Facebook, fent que el correu brossa sigui menys probable.
OAuth també significa menys contrasenyes per recordar. És una bona pràctica disposar de contrasenyes diferents per a serveis de llocs web diferents. Així que en lloc de memoritzar una altra contrasenya, només haureu d’utilitzar la vostra contrasenya de Facebook per accedir al servei., per cert, no veuràs la teva contrasenya.
També podeu limitar a quins recursos s’accedeix mitjançant el vostre OAuth. Per exemple, quan es juga un joc a Facebook, podeu especificar si voleu que el joc sigui publicat al vostre nom o no.
Per al desenvolupador, OAuth 2.0 proporciona un codi ja desenvolupat per a les autenticacions, la visualització d’interacció social i la visualització del perfil d’usuari. Això significa menys errors per afrontar els desenvolupadors i un menor risc, ja que l'API ja s'ha depurat, provat i provat. Per últim, també es beneficia de tenir menys dades emmagatzemades als vostres servidors.
Com va arribar OAuth 2.0
És ben obvi que OAuth és una resposta a la crida a la informàtica segura i la facilitat d’ús per a diferents serveis web. OAuth 2.0, per la seva banda, va sorgir de la necessitat de fer que OAuth fos menys complex. Però la idea sencera per a tots dos provenia d'OpenID.
OpenID és un servei que permet als usuaris iniciar sessió en diversos serveis mitjançant l'ús de les credencials d'inici de sessió des d'un altre lloc web. Però OpenID era molt limitat, de manera que es van reunir un grup de persones que treballaven en diferents protocols d’autorització per als seus propis llocs. Les primeres implementacions OAuth es van fer el 2007 i la primera revisió va arribar dos anys després.
OAuth 2.0 va arribar als escenaris el 2010. La seva intenció era centrar-se en la simplicitat del client i desenvolupador i ser més fàcilment escalable alhora que millorar l’experiència dels usuaris.
Els reptes per davant?
Tot i que Google, Klout i altres grans noms implementen OAuth 2.0, pot haver-hi encara un camí pedregós per davant d’aquest protocol. Hi ha crítiques de dins de la comunitat OAuth 2.0, incloses les preocupacions sobre la seguretat del protocol (molts creuen que és menys segur que OAuth 1.0).
Segons Hammer, si l’utilitza un programador competent que té una bona versió en seguretat web, OAuth 2.0 funciona. Malauradament, només una petita minoria de desenvolupadors s’ajusta a aquest projecte de llei.
A més, els codis OAuth 2.0 no es poden reutilitzar. Per exemple, els protocols OAuth 2.0 utilitzats per Facebook no podrien ser fàcilment utilitzables per altres llocs. És més, el nou protocol és realment molt més complex que l'original.
Però el veritable tret de sortida per a moltes persones és que OAuth 2.0 no sembla que ofereixi cap avantatge ni millora real respecte a 1, 0. Hammer escriu que si implementeu 1.0 amb èxit, no hi ha cap raó per actualitzar a 2.0.
OAuth 2.0, però, continua molt viu. Si tracta les crítiques i els problemes que es plantegen, encara pot trobar un lloc com a protocol molt potent. En el moment d’escriure, però, la versió 1.0 encara es considera la versió oficial, estable i provada d’OAuth. No obstant això, per a desenvolupadors que pretenen treballar amb grans noms en el món en línia, la implementació d'aquest protocol de forma segura pot esdevenir un conjunt d'habilitats clau en un futur no gaire llunyà.
