OpenID i OAuth
Avui em tocava explicar als companys del CENT en què consisteixen OpenID i OAuth, dos estàndards que volen flexibilitzar l’autenticació i l’autorització en un web cada vegada més “social”.
OpenID permet que l’usuari no s’hagi de crear un login i contrasenya nous en cada lloc on es vol registrar. Els llocs que hi són compatibles poden redirigir l’autenticació al proveïdor d’identitat OpenID que tu tries, p. ex. Google, Facebook, WordPress o RedIRIS (la xarxa acadèmica i científica que connecta les universitats espanyoles). El nom d’usuari/contrasenya se substitueix així per un identificatiu que és l’URL on es produirà efectivament l’autenticació, p. ex. l’adreça del teu perfil de Google o fins i tot una adreça única per a tots els usuaris de Google https://www.google.com/accounts/o8/id o de RedIRIS http://yo.rediris.es. Introdueixes aquesta adreça en un formulari i el lloc d’origen et redirigeix al teu proveïdor OpenID preferit. Després que t’hi hagis identificat, amb les teves credencials habituals, el proveïdor comunica al lloc d’origen que l’autenticació ha tingut èxit i que per tant tu ets qui dius ser.
OAuth, en canvi, serveix per a autoritzar que una aplicació web o d’escriptori utilitzi les teves dades d’una altra aplicació web, sense haver-li de donar el teu nom d’usuari i contrasenya d’aquesta altra aplicació. Per exemple, quan vols utilitzar Twitter amb una aplicació d’escriptori o d’iPone (Echofon, Twitterrific, etc.), o quan una aplicació web qualsevol et demana permís per a afegir els teus contactes de GMail. Fins fa poc calia que donessis el teu nom d’usuari i contrasenya de Twitter o GMail, amb el problema de seguretat consegüent. Ara, amb OAuth, l’aplicació que vulgui accés a les teves dades pot sol·licitar-ho directament a Twitter o GMail, que et demanaran confirmació a tu. Una característica molt bona d’OAuth és que es pot demanar permisos específics (accés als contactes, o poder enviar missatges, etc.) i per una durada de temps definida (només avui, una setmana, per sempre, etc.).
Que OpenID i OAuth es complementen mútuament ho prova OpenID Connect, una proposta recent d’extensió del protocol OpenID, amb la qual es pretén que l’autenticació d’un usuari pugui proporcionar també al lloc d’origen informació addicional sobre l’usuari: el seu nom, la seva foto, la seva adreça de correu, etc. Amb el seu consentiment, és clar. Bàsicament es tractaria de sumar OpenID + OAuth.
