Sindicación
OAuth, autenticación segura para APIs
Lun, 30/06/2008 - 09:11
Si atendemos a los últimos movimientos de las grandes redes sociales y el mismo Google, el futuro de la red pasa por conceptos como Data Portability y Data Availability.
Uno de los pilares de esta ubicuidad de los datos y su total disponibilidad es la autentificación remota, ¿es normal que un usuario deba dar su contraseña a cualquier aplicación para poder acceder a los datos que almacena en otra? Realmente es muy práctico poder, por ejemplo, importar nuestra agenda de contactos en una red social para localizar a nuestros amigos pero ¿es necesario darle nuestros datos? O peor aun, ¿es seguro?
No hace falta ser demasiado paranoico para pararse a pensar en lo fiable de algunos sitios. Dar una contraseña es dar pleno acceso a nuestras cuentas, no sólo a los datos que queremos utilizar y debemos confiar en la buena fe de los desarrolladores y suponer que no almacenarán ni utilizarán nuestras claves.
OAuth nace para solventar este problema, proveyéndonos de un sistema universal con el que autorizar el acceso a determinados datos protegidos. El concepto es sencillo, imagina la red social de la que hablábamos antes. Te acabas de registrar y quieres encontrar a todos tus contactos. Para ello vas a importarlos desde tu cliente de correo web. En lugar de introducir tus datos de acceso en la página de la red social, esta te enviará a tu proveedor de correo donde serás tu mismo quien autorice a esa red social a acceder a los datos de contacto. Listo.
Para el usuario, como ves, el proceso es transparente y muy sencillo. Por detrás, estaremos generando un token que permitirá el acceso a determinados datos (sólo los contactos y no los correos, en este caso) y durante un tiempo determinado.
OAuth es un estándar abierto que añade una capa más de seguridad a los datos de nuestros usuarios, no obstante no viene a sustituir a otros sistemas de autenticación como OpenID, si no que se integra con ellos, y no puede sustituir a elementos de seguridad como los certificados SSL. Por supuesto, al ser abierto ya existen librerías para los principales lenguajes.
Puede que, hasta ahora, haya pasado bastante desapercibido a pesar de estar en uso en sitios tan populares como Ma.gnolia o Flickr. Ahora Myspace y Google parecen decididos a adoptarlo y con esto es de esperar que cada vez se extienda más su uso.
ShareThis
Si atendemos a los últimos movimientos de las grandes redes sociales y el mismo Google, el futuro de la red pasa por conceptos como Data Portability y Data Availability.
Uno de los pilares de esta ubicuidad de los datos y su total disponibilidad es la autentificación remota, ¿es normal que un usuario deba dar su contraseña a cualquier aplicación para poder acceder a los datos que almacena en otra? Realmente es muy práctico poder, por ejemplo, importar nuestra agenda de contactos en una red social para localizar a nuestros amigos pero ¿es necesario darle nuestros datos? O peor aun, ¿es seguro?
No hace falta ser demasiado paranoico para pararse a pensar en lo fiable de algunos sitios. Dar una contraseña es dar pleno acceso a nuestras cuentas, no sólo a los datos que queremos utilizar y debemos confiar en la buena fe de los desarrolladores y suponer que no almacenarán ni utilizarán nuestras claves.
OAuth nace para solventar este problema, proveyéndonos de un sistema universal con el que autorizar el acceso a determinados datos protegidos. El concepto es sencillo, imagina la red social de la que hablábamos antes. Te acabas de registrar y quieres encontrar a todos tus contactos. Para ello vas a importarlos desde tu cliente de correo web. En lugar de introducir tus datos de acceso en la página de la red social, esta te enviará a tu proveedor de correo donde serás tu mismo quien autorice a esa red social a acceder a los datos de contacto. Listo.
Para el usuario, como ves, el proceso es transparente y muy sencillo. Por detrás, estaremos generando un token que permitirá el acceso a determinados datos (sólo los contactos y no los correos, en este caso) y durante un tiempo determinado.
OAuth es un estándar abierto que añade una capa más de seguridad a los datos de nuestros usuarios, no obstante no viene a sustituir a otros sistemas de autenticación como OpenID, si no que se integra con ellos, y no puede sustituir a elementos de seguridad como los certificados SSL. Por supuesto, al ser abierto ya existen librerías para los principales lenguajes.
Puede que, hasta ahora, haya pasado bastante desapercibido a pesar de estar en uso en sitios tan populares como Ma.gnolia o Flickr. Ahora Myspace y Google parecen decididos a adoptarlo y con esto es de esperar que cada vez se extienda más su uso.
ShareThis
You have already tagged this post. Your tags:
Noticia original: www.webmasterlibre.com