Open Authorization es un estándar abierto que permite flujos simples de autorización para sitios web o aplicaciones informáticas. Se trata de un protocolo propuesto por Blaine Cook y Chris Messina, que permite autorización segura de una API de modo estándar y simple para aplicaciones de escritorio, móviles y web.
OAuth permite a un usuario del sitio A (proveedor de servicio) compartir su información con el sitio B (llamado consumidor) sin compartir toda su identidad. Para desarrolladores de consumidores, OAuth es un método de interactuar con datos protegidos y publicarlos. Para desarrolladores de proveedores de servicio, OAuth proporciona a los usuarios un acceso a sus datos al mismo tiempo que protege las credenciales de su cuenta. Este mecanismo es utilizado por compañías como Google, Facebook, Microsoft, Twitter y Github para permitir a los usuarios compartir información sobre sus cuentas con aplicaciones de terceros o sitios web.
Historia
OAuth comenzó en noviembre de 2006, cuando Blaine Cook desarrollaba la implementación de OpenID para Twitter. Mientras tanto la empresa Ma.gnolia, con un servicio de marcadores sociales, necesitaba una solución que permitiera a sus miembros con OpenID autorizar widgets en el dashboard para acceder a su servicio. Es entonces cuando Blaine Cook, Chris Messina y Larry Halff de Ma.gnolia (ahora Gnolia) se reunieron con David Recordon para discutir el uso de OpenID con las API de Twitter y Ma.gnolia para delegar la autenticación. Llegaron a la conclusión de que no existía ningún estándar abierto para delegar acceso a las API.
En abril de 2007 se creó el grupo de discusión de OAuth, para que el pequeño grupo de desarrolladores escribiera un borrador de propuesta para un protocolo abierto. DeWitt Clinton de Google se enteró del proyecto OAuth y se mostró interesado en apoyar el esfuerzo. El equipo terminó el borrador inicial de la especificación en julio de 2007. Eran Hammer-Lahav se unió y coordinó las diversas contribuciones a OAuth, creando una especificación más formal. El borrador definitivo Oauth Core 1.0 se publicó el 3 de octubre de 2007.
OAuth 2.0
OAuth 2.0 no es compatible con OAuth 1.0.[1] OAuth 2.0 proporciona flujos de autorización específicos para aplicaciones web, aplicaciones de escritorio, teléfonos móviles y dispositivos de sala de estar. La especificación y RFCs asociados son desarrollados por el IETF OAuth WG. El marco principal fue publicado en octubre de 2012.
La Graph API de Facebook sólo admite OAuth 2.0. Google admite OAuth 2.0 como el mecanismo de autenticación recomendado para todas sus API. Microsoft también admite OAuth 2.0 para varias API y su servicio Azure Active Directory, que se utiliza para proteger muchas API de Microsoft y de terceros. Github sólo admite OAuth 2.0 como mecanismo de autenticación para sus API. El marco OAuth 2.0 y el uso del token portador (En inglés: The OAuth 2.0 Framework and Bearer Token Usage) se publicaron en octubre de 2012.
Véase también
Referencias
- ↑ «Differences Between OAuth 1 and 2». OAuth 2.0 Servers (en inglés estadounidense). Consultado el 23 de enero de 2019.
Enlaces externos
- Web oficial (En Inglés)
- OAuth en Google Grupos (En Inglés). Cerrada en 2016
- El Protocolo OAuth 1.0 (RFC 5849) (En Inglés)
- El Marco de Autorización OAuth 2.0 (RFC 6749) (En Inglés)
- El Marco de Autorización OAuth 2.0: Uso del Token Portador (RFC 6750) (En Inglés)