OAuth

OAuth est un protocole de communication libre. Il permet d’autoriser un site web, un logiciel ou une application (dite « consommateur ») à utiliser l’API sécurisée d’un autre site web (dit « fournisseur ») pour le compte d’un utilisateur. L’utilisateur n’a plus besoin de fournir ses informations d’identification à une application tierce car la connexion se passe sur l’application de l’API. Cela suppose que l’utilisateur lui a fait à priori confiance.

 

OAuth n’est pas un protocole d’authentification, mais de délégation d’autorisation.

 

OAuth permet aux utilisateurs de donner, au site ou logiciel « consommateur », l’accès à des informations personnelles provenant du site « fournisseur » de service ou de données. Ceci tout en protégeant le pseudonyme et le mot de passe des utilisateurs. Par exemple, un site de manipulation de vidéos pourra éditer les vidéos enregistrées sur Dailymotion d’un utilisateur des deux sites, à sa demande.

 

OAuth permet ainsi à des applications externes d’interagir avec des données personnelles protégées. Par exemple, elle permet d’interagir avec le contenu d’une boîte aux lettres. Ces applications obtiennent un accès limité à un service disponible via HTTP par le biais d’une autorisation préalable du détenteur des ressources. L’accès est demandé par ce qu’on appelle « un client ». Ce client peut être un site internet ou une application mobile par exemple. Si les ressources n’appartiennent pas au client, alors ce dernier doit obtenir l’autorisation de l’utilisateur final. Sinon il peut directement obtenir l’accès en s’authentifiant avec ses propres identifiants.

 

OAuth2.0, la version 2 de OAuth, est censée simplifier la version précédente du protocole et à faciliter l’interopérabilité entre les différentes applications.

 

Quelques exemples d’utilisation du protocole OAuth

 

Grace à ses atouts, OAuth est devenu un standard et de nombreux géants du web l’ont adopté. Parmi les exemples d’applications utilisant Oauth les plus célèbres, on trouve :

  • OpenStreetMap utilise OAuth pour ses API ;
  • Twitter utilise exclusivement OAuth pour ses API depuis le 31 août 2010 ;
  • Gmail utilise OAuth depuis mars 2010 ;
  • foursquare utilise OAuth pour ses API ;
  • Facebook utilise OAuth 2.0 pour ses API ;
  • Windows Live utilisera OAuth 2.0 pour se connecter à sa plateforme.

Vous souhaitez en savoir plus sur OAuth, son application et sur sa mise en oeuvre, contactez-nous !