"An open protocol to allow secure authorization in a simple and standard method from web, mobile and desktop applications."
Nello sviluppo di un software, per smartphone, pc o per un sito, si possono prevedere aree riservate ad utenti o personalizzazioni per i visitatori registrati.
L'accesso si faceva, fino a pochi anni fa, solo con email e password.
Ora si usa anche il numero di cellulare.
In generale però i social network più usati permettono di utilizzare l'accesso alle loro piattoforme per effettuare un riconoscimento utile da parte di altri software/siti.
Questo permette da una parte di non dover ridigitare tutti i dati personali, perchè vengono condivisi dalle piattaforme usate (di solito facebook,twitter,linkedin), dall'altra di delegare alle piattaforme il riconoscimento.
E' più veloce, e non condivide la password. Permette anche di accedere, da piattaforme terze, di fare operazioni sui propri dati personali che dalle piattaforme originali magari non era possibile fare.
Un ottimo esempio è pastbook: prende le vostre foto (da facebook o instagram) su vostra richiesta e genera un album di foto online, o su carta, che si può impaginare e ordinare per la spedizione.
Il rischio ? Che il gestore non della piattaforma ma di chi usa il protocollo oauth acceda anche ad altri dati per altre finalita'. Per questo le privacy policy dovrebbero essere più seriamente prese in considerazione, ma in fondo non si tratta di un problema nuovo. In fondo chiunque chieda la registrazione degli utenti può usare i dati in modo diverso da quello che dichiara. Non è un vero rischio nuovo, considerando che comunque i dati condivisi dalle piattaforme sociali sono dati spesso pubblici, e gli alert ulteriori sui dati più privati sono previsti e richiesti espressamente agli utenti finali in modo che l'applicazione non può nascondere una richiesta e prendersi invece molti più dati.
Sono infatti le piattaforme sociali che chiedono l'autorizzazione indicando quali dati condividere. L'applicazione che usa lo standard deve in modo trasparente far chiedere alla piattaforma i dati che le servono, altrimenti non le arriveranno.
Tutto considerato, permette di non dover avere mille password e offre molti vantaggi con solo alcuni rischi, non nuovi tuttavia.
Aspetti accessori, ma essenziali, di un sistema oauth:
- chiavi di accesso dell'applicazione alla piattaforma social
- livelli diversi di autorizzazione per i diversi tipi di dati condivisi
- autorizzazione revocabile da parte dell'utente direttamente presso la piattaforma social, oltre che dall'applicazione
Aspetti negativi: le piattaforme social mettono diversi limiti e si riservano di togliere l'accesso ad esse. In modo poco contrattuale...