OAuth è uno standard di autorizzazione aperto utilizzato per fornire l'accesso sicuro dell'applicazione client alle risorse del server. Il framework di autorizzazione OAuth consente a un'applicazione di terze parti di ottenere un accesso limitato a un servizio HTTP, per conto del proprietario di una risorsa o consentendo all'applicazione di terze parti di ottenere l'accesso per proprio conto.
OAuth consente ai proprietari del server di autorizzare l'accesso alle risorse del server senza condividere le credenziali. Ciò significa che l'utente può concedere l'accesso a risorse private da un server a un'altra risorsa server senza condividere la propria identità.
OAuth risolve i problemi di autenticazione client-server tradizionali
OAuth è progettato per i problemi e le limitazioni riscontrati nel modello di autenticazione client-server tradizionale in cui le applicazioni di terze parti sono richieste per memorizzare le credenziali del proprietario della risorsa per un utilizzo futuro e dove i proprietari delle risorse non possono revocare l'accesso a una singola terza parte senza revocare l'accesso a tutte le terze parti .
OAuth risolve questi problemi introducendo un livello di autorizzazione e separando il ruolo del client da quello del proprietario della risorsa. Invece di utilizzare le credenziali del proprietario della risorsa per accedere alle risorse protette, il client ottiene un token di accesso, rilasciato a client di terze parti da un server di autorizzazione con l'approvazione del proprietario della risorsa.
Il protocollo OAuth
Il protocollo OAuth 1.0 (RFC5849), pubblicato come documento informativo, è stato il risultato di un piccolo sforzo comunitario ad hoc. Il protocollo OAuth 2.0 non è compatibile con le versioni precedenti di OAuth 1.0.
Difetti di sicurezza OAuth
A maggio 2014 è stata scoperta una falla di sicurezza nei meccanismi di autenticazione dei siti Web OAuth e OpenID ampiamente utilizzati. Il difetto non era in OAuth 2, ma era il risultato di come alcune aziende implementavano gli standard, primari nelle situazioni in cui venivano utilizzati reindirizzamenti aperti. In seguito alla notizia della falla di sicurezza, Google ha affermato che sarà più rigoroso proteggere gli utenti quando accedono ai propri account applicando controlli di autorizzazione aggiuntivi.