He observado que para distintas redes sociales como facebook, twitter, digg, google, flickr que se usa este protocolo de autenticación y me pareció importante dar una breve descripción de esté.
Que es OAuth?
OAuth es un protocolo de autorización para acceso web, el cual provee permisos para compartir información del usuario a terceros, no compartiendo la contraseña, esto es: el usuario concede el permiso para mostrar la información a un tercero limitando el acceso por duración, alcance, entre otros.
Que es OAuth?
OAuth es un protocolo de autorización para acceso web, el cual provee permisos para compartir información del usuario a terceros, no compartiendo la contraseña, esto es: el usuario concede el permiso para mostrar la información a un tercero limitando el acceso por duración, alcance, entre otros.
Cliente, Servidor y Propietario del Recurso.
En OAuth se definen tres roles: Cliente (Consumidor), Servidor (Proveedor del servicio) y Propietario del recurso (Usuario).
En el modelo tradicional de autenticación cliente-servidor se necesitan las credenciales de acceso para obtener los recursos del servidor, para esto el servidor no le importa de donde venga la petición, con que especifique la parte secreta de la credencial de acceso es mas que suficiente para procesar la solicitud.
En el modelo de OAuth se incorpora un tercer rol que es el de Propietario del recurso, de esta manera en el modelo tradicional el cliente se separa en dos roles: Cliente (Consumidor) y Propietario del recurso (Usuario).
Recursos protegidos.
Son recursos en el servidor que están protegidos y se necesita autenticación para su acceso, el propietario del recurso es el que controla el recurso, el recurso puede ser fotos, documentos, contactos, etc.
Credenciales y Token.
En OAuth se usan tres tipos de credenciales: credenciales del cliente (consumer key y consumer secret), credenciales temporales (request token y request secret) y credenciales de token (access token).
Las credenciales del cliente sirven para autenticar al cliente, estas permiten al servidor recopilar información de quien accese a sus servicios, para algunos clientes se puede tener un trato especial como mostrar recursos protegidos.
Las credenciales de token sirven para acceder a recursos protegidos en nombre del cliente, esto es que el propietario del recurso da permiso al cliente mediante el token para acceder al recurso, el cliente accede al recurso sin necesidad de tener las credenciales del propietario. Las credenciales de token pueden ser revocadas por el propietario del recurso en cualquier momento sin afectar a algunas otras.
El proceso de autorización OAuth también utiliza un conjunto de credenciales temporales que se utilizan para identificar la solicitud de autorización. Con el fin de dar cabida a diferentes tipos de clientes (basado en la web, de escritorio, móviles, etc), las credenciales temporales ofrecen una mayor flexibilidad y seguridad.
No hay comentarios:
Publicar un comentario