Open Authorization (OAuth) es un estándar abierto que permite flujos simples de autorización para sitios web o aplicaciones informáticas. Se trata de un protocolo propuesto por Blaine Cook y Chris Messina, que permite autorización segura de una API de modo estándar y simple para aplicaciones de escritorio, móviles y web.

OAuth logo

OAuth permite a un usuario del sitio A compartir su información en el sitio A (proveedor de servicio) con el sitio B (llamado consumidor) sin compartir toda su identidad. Para desarrolladores de consumidores, OAuth es un método de interactuar con datos protegidos y publicarlos. Para desarrolladores de proveedores de servicio, OAuth proporciona a los usuarios un acceso a sus datos al mismo tiempo que protege las credenciales de su cuenta. Este mecanismo es utilizado por compañías como Google, Facebook, Microsoft, Twitter y Github para permitir a los usuarios compartir información sobre sus cuentas con aplicaciones de terceros o sitios web.

Índice

HistoriaEditar

OAuth comenzó en noviembre de 2006, cuando Blaine Cook desarrollaba la implementación de OpenID para Twitter. Mientras tanto la empresa Ma.gnolia, con un servicio de marcadores sociales, necesitaba una solución que permitiera a sus miembros con OpenID autorizar widgets en el dashboard para acceder a su servicio. Es entonces cuando Blaine Cook, Chris Messina y Larry Halff de Ma.gnolia (ahora Gnolia) se reunieron con David Recordon para discutir el uso de OpenID con las API de Twitter y Ma.gnolia para delegar la autenticación. Llegaron a la conclusión de que no existía ningún estándar abierto para delegar acceso a las API.

En abril de 2007 se creó el grupo de discusión de OAuth, para que el pequeño grupo de desarrolladores escribiera un borrador de propuesta para un protocolo abierto. DeWitt Clinton de Google se enteró del proyecto OAuth y se mostró interesado en apoyar el esfuerzo. El equipo terminó el borrador inicial de la especificación en julio de 2007. Eran Hammer-Lahav se unió y coordinó las diversas contribuciones a OAuth, creando una especificación más formal. El borrador definitivo Oauth Core 1.0 se publicó el 3 de octubre de 2007.

OAuth 2.0Editar

OAuth 2.0 no es compatible con OAuth 1.0. OAuth 2.0 proporciona flujos de autorización específicos para aplicaciones web, aplicaciones de escritorio, teléfonos móviles y dispositivos de sala de estar. La especificación y RFCs asociados son desarrollados por el IETF OAuth WG. El marco principal fue publicado en octubre de 2012.

La Graph API de Facebook sólo admite OAuth 2.0. Google admite OAuth 2.0 como el mecanismo de autenticación recomendado para todas sus API. Microsoft también admite OAuth 2.0 para varias API y su servicio Azure Active Directory, que se utiliza para proteger muchas API de Microsoft y de terceros. Github sólo admite OAuth 2.0 como mecanismo de autenticación para sus API. El marco OAuth 2.0 y el uso del token portador (En inglés: The OAuth 2.0 Framework and Bearer Token Usage) se publicaron en octubre de 2012.

Véase tambiénEditar

Enlaces externosEditar