CONECTIVIDAD OAUTH

PREAMBULO

• EN LA WEB, LA AUTENTICACIÓN ES VITAL. EN PARTICULAR, CON APIS ABIERTAS, LAS APLICACIONES SE BASAN CADA VEZ MÁS DE LOS RECURSOS QUE SE EXTIENDEN POR TODA LA WEB.

• MUY POCOS SERVICIOS Y PROVEEDORES OFRECEN APIS SIN ALGUNA FORMA DE SEGURIDAD O AUTORIZACIÓN.

• ALGUNOS PROVEEDORES DE SERVICIOS SÓLO QUIEREN IDENTIFICAR LA APLICACIÓN QUE SE CONSUME A TRAVÉS DE UNA CLAVE DE API, MIENTRAS QUE OTROS QUE TIENEN QUE VER JUNTO CON LA INFORMACIÓN MÁS SENSIBLE TIENEN MECANISMOS DE AUTORIZACIÓN DE GRANO MÁS FINO TALES COMO OAUTH.

CONTEXTO DE OAUTH

• PARA PONER EN CONTEXTO OAUTH, CONSIDERE LOS SIGUIENTES ESCENARIOS:

• UN LABORATORIO DE FOTOS EN LÍNEA PARA IMPRIMIR SUS FOTOS DE FLICKR

• UNA RED SOCIAL UTILIZANDO LA LIBRETA DE DIRECCIONES DE GOOGLE PARA BUSCAR AMIGOS

• UNA APLICACIÓN DE FITNESS QUE PUBLICA SU PROGRESO EN TWITTER

GENIAL

• ES GENIAL UTILIZAR TODOS ESTOS RECURSOS, PERO PARA QUE ESTAS APLICACIONES TENGAN ACCESO DE LOS DATOS DE USUARIOS SOBRE OTROS SITIOS, ESTOS PIDEN LOS NOMBRES DE USUARIO Y CONTRASEÑAS.

• NO SÓLO REQUIERE ESTE LA EXPOSICIÓN DE LA CONTRASEÑA DE UN USUARIO PARA ALGUNA APLICACIÓN AL AZAR EN LA WEB, SINO QUE TAMBIÉN PROPORCIONA A ESTAS APLICACIONES EL ACCESO ILIMITADO A HACER LO QUE DESEEN.

USO

• PARA LO QUE SEA QUE USTED ESTÁ USANDO OAUTH , EL OBJETIVO FINAL ES SIEMPREEL MISMO: USTED ESTÁ TRATANDO DE OBTENER UN TOKEN DE ACCESO QUE LA APLICACIÓN PUEDE UTILIZAR PARA REALIZAR LAS SOLICITUDES DE API EN NOMBRE DE UN USUARIO.

• OAUTH LOGRA ESTO AL EXIGIR QUE LA APLICACIÓN QUE SE CONSUME REDIRIGIR AL USUARIO O PROPIETARIO DEL RECURSO PARA EL PROVEEDOR DE SERVICIOS PARA AUTENTICAR CON SU SERVIDOR DE AUTORIZACIÓN Y, FINALMENTE, DEVOLVER EL ACCESO A LA APLICACIÓN QUE SE CONSUME.

OAUTH V2