OAuth et OpenID

Vous trouverez ici une introduction au protocole OAuth.

De quoi s'agit-il ? OAuth permet d'allouer à un site "A" l'accès à vos ressources privées  afin d'être exploitées par un autre site que l'on nommera site "B"; Le site "A" est donc - dans le vocabulaire OAuth - le "Consumer" d'une ressource fourni par le site B "Service Provider".

Pour être concret OAuth définit une API ouverte qui permettrait par exemple à Plaxo (rôle de Consumer) d'accéder à mes contacts iGoogle (Service Provider) sans avoir à divulguer à Plaxo mon login/password Google.

A la différence d'OpenID qui fournit un protocole d'authentification  permettant à plusieurs sites d'hériter de l'authentification réalisée sur un site au sein d'un cercle de confiance commun, OAuth permet à un utilisateur d'allouer l'accès d'un site à tout ou partie des ressources privées d'un autre site sans pour autant fournir les clés d'accès. Ce n'est donc pas une solution d'authentification partagée permettant de valider l'identité de l'utilisateur mais une façon ouverte de permettre aux applications web qui gère différentes données personnelles l'agrégation de ces données tout en respectant la non divulgation des clés permettant d'y accéder et de les gérer.

OAuth a publié en Octobre 2007 la version 1,0 de ses spécifications et des librairies sont déjà disponibles en PHP, .NET, C et Perl.

Des implémentations sont en cours chez Digg, Jaiku, Flickr, Ma.gnolia, Plaxo, Pownce, Twitter, and hopefully Google, Yahoo. Bon début !