Post on 09-May-2015
OAuthUn protocolo para dominarlos a todos
Rafa Vázquez
¿Qué queremos?Compartir información privada entre servicios
El triángulo amoroso
El triángulo amoroso
El triángulo amoroso
¿Y cuándo lo queremos?¡Ahora!
¿Qué necesitamos?
• Identificación / autenticación
• Autorización
¿Cómo solucionarlo?Tokens, tokens everywhere
Tokens de autorización
• Damos permiso al Consumer para acceder a determinados recursos del Provider.
• Token = llave
• Se transmite mediante un protocolo común a ambas partes.
OAuth, ahora sí
• Sencillo, para desarrolladores y usuarios
• Abierto
• Seguro
• Flexible
Proceso de autorización (para usuarios)
Ejemplo
Proceso de autorización (desarrolladores)
ImplementaciónLo más importante
Parámetros
• oauth_consumer_key
• oauth_token
• oauth_signature
• oauth_signature_method
• oauth_nonce
• oauth_timestamp
Parámetros
• oauth_consumer_key (+ consumer secret)
• oauth_token (+ token secret)
• oauth_signature
• oauth_signature_method
• oauth_nonce
• oauth_timestamp
Proceso de firma y verificación
Parámetros
• oauth_consumer_key
• oauth_token
• oauth_signature
• oauth_signature_method
• oauth_nonce
• oauth_timestamp
Estado actual
• OAuth 1.0 (definitivo)
• OAuth 2.0 (desarrollo)
Estado actual
• OAuth 1.0 (definitivo)
• OAuth 2.0 (desarrollo)
“They say the road to hell is paved with good intentions. Well, that’s OAuth 2.0” - Eran Hammer
Fin
• Guía de OAuth 1.0: kcy.me/e0jf
• OAuth 2.0 y el camino al infierno: kcy.me/e0jc
• Sitio oficial: oauth.net/
• Librerías: https://github.com/search?q=oauth