¿Qué es Oauth? Conoce este protocolo que utilizas tan a menudo.

OAuth logo, autenticación.

El propósito de este articulo es dar a conocer OAuth de manera que cualquier persona la pueda entender, lo explico desde el punto de vista de un usuario, conociendo de que manera puede afectarle esta tecnología.

¿Qué es OAuth?

Es un protocolo abierto, que permite autorización segura de una API de modo estándar y simple para aplicaciones de escritorio, móviles y web. Wikipedia

Para que lo entendamos

OAuth sirve para jugar al candy crush, logueandote en facebook, sin que candy crush tenga acceso a todos los datos de tu cuenta de facebook y lo que es mas importante no tiene acceso a tu  nombre de usuario ni a tu password de facebook.

Funcionamiento  sin OAuth

Ejemplo con una tienda online.

  1. El usuario accede a la tienda y pulsa en el botón de login.
  2. La tienda le pide usuario y contraseña.
  3. El usuario se las da y accede a sus datos y pedidos.

Problemas

Si hackean la tienda tienen acceso a todos mis datos incluido nº de tarjeta usuario y contraseña. Ademas, lo normal es que los usuarios utilicen estos datos en mas servicios con lo que podrían tener acceso a mis datos en otros servicios.

Funcionamiento  con OAuth

Ejemplo con una tienda online usando PayPal.

  1. El usuario accede a la tienda online y esta le pide que se loguee con PayPal y el usuario le dice que si.
  2. La tienda online le pide a PayPal los datos  los datos del usuario .
  3. PayPal, no la tienda online, pide al usuario su nombre de usuario y contraseña.
  4. El usuario los pone y configura a que datos y que permisos tendrá la tienda online.

Posteriormente PayPal y tienda online se intercambian los datos acordados.

Problemas

Si hackean la tienda online no tienen acceso a nada, la tienda online solo tiene un token que solo sirve para acceder a PayPal desde los servidores de la tienda online y solo a una información limitada, ni al usuario, ni a la password, ni la tarjeta de credito cosa que solo tiene PayPal.

Versiones de OAuth

  • Oauth 1.0 RFC 5849 en abril de 2010.
  • Oauth 2.0 RFC 6749 y RFC 6750 en octubre de 2012, todavía hoy se siguen desarrollando nuevas funcionalidades.

¿Quién usa OAuth?

Google, Facebook, Twitter, Box, PayPal, LinkedIn, Amazon, Flirckr, Nextflix, Box, Vimeo, Evernote….

Problemas con OAuth

Atentos a los permisos que dais a terceros, podéis darles permiso para publicar en vuestros muros.

En algunos casos durante el proceso de autenticación se pueden quitar muchos permisos. Fijaros cuando pulsáis aceptar.

Comprobar los permisos y cambiar la privacidad de las aplicaciones.

Os dejo esta presentación que he realizado en la cual se explica OAuth.

Espero que os haya gustado el artículo y que conozcáis un poco más de OAuth, si os a gustado podéis compartirlo o dar +1 o me gusta en las redes sociales son el motor que me anima a seguir escribiendo. Muchas gracias a todos.

 


Sobre Ignacio Alba Obaya

Técnico microinformático y formador para el empleo. Amante de las nuevas tecnológias. Administrador de GNU/Linux y Windows.

Deja un comentario