OAuth est une norme d'autorisation ouverte utilisée pour fournir un accès sécurisé aux applications clientes aux ressources du serveur. Le cadre d'autorisation OAuth permet à une application tierce d'obtenir un accès limité à un service HTTP, soit au nom d'un propriétaire de ressource, soit en autorisant l'application tierce à obtenir l'accès en son propre nom.
OAuth permet aux propriétaires de serveurs d'autoriser l'accès aux ressources du serveur sans partager les informations d'identification. Cela signifie que l'utilisateur peut accorder l'accès aux ressources privées d'un serveur à une autre ressource de serveur sans partager son identité.
OAuth résout les problèmes d'authentification client-serveur traditionnels
OAuth est conçu pour répondre aux problèmes et aux limitations rencontrés dans le modèle d'authentification client-serveur traditionnel où les applications tierces sont tenues de stocker les informations d'identification du propriétaire de la ressource pour une utilisation future et où les propriétaires de ressources ne peuvent pas révoquer l'accès à un tiers individuel sans révoquer l'accès à tous les tiers .
OAuth résout ces problèmes en introduisant une couche d'autorisation et en séparant le rôle du client de celui du propriétaire de la ressource. Au lieu d'utiliser les informations d'identification du propriétaire de la ressource pour accéder aux ressources protégées, le client obtient un jeton d'accès, émis à des clients tiers par un serveur d'autorisation avec l'approbation du propriétaire de la ressource.
Le protocole OAuth
Le protocole OAuth 1.0 (RFC5849), publié sous forme de document d'information, est le résultat d'un petit effort communautaire ad hoc. Le protocole OAuth 2.0 n'est pas rétrocompatible avec OAuth 1.0.
Failles de sécurité OAuth
En mai 2014, une faille de sécurité a été découverte dans les mécanismes d'authentification de sites Web OAuth et OpenID largement utilisés. La faille n'était pas dans OAuth 2, mais était le résultat de la façon dont certaines entreprises ont mis en œuvre les normes, principalement dans les situations où des redirections ouvertes étaient utilisées. Suite à l'annonce de la faille de sécurité, Google a déclaré qu'il serait plus strict dans la sécurisation des utilisateurs lorsqu'ils se connecteront à leurs comptes en appliquant des contrôles d'autorisation supplémentaires.