OAuth, protocolo de autentificación segura para APIs

Leyendo el blog La Cofa, me he encontrado con este artículo sobre OAuth. Antes de explicar qué es esto, me gustaría recomendar este blog colectivo sobre la “Vigilancia Tecnológica sobre el futuro de Internet, la Banda Ancha, la Movilidad y otros temas de las Tecnologías de la Información y las Comunicaciones” escrito por gente de Telefónica I+D. Llegué a él vía uno de sus blogueros (Salvador Pérez Crespo, Gerente de Vigilancia Tecnológica de Telefónica I+D) que estuvo haciendo una ponencia muy muy buena sobre lo que realmente significa “The Long Tail” en las Jornadas Internet de Nueva Generación que han acabado hoy.

Tras esto, explicar que OAuth es un proyecto de estándar de autentificación segura para las APIs de las aplicaciones o servicios web (el 1 de Noviembre sale la versión final, ahora mismo está el draft). No sería sólo una autentificación al estilo de OpenID, si no que permitiría tener un control sobre qué fotos, qué mensajes, qué contenidos puede acceder tal o cual servicio web. Proporcionaría una interoperatibilidad entre los diferentes servicios para que el usuario no tenga que estar dejando sus contraseñas por todo Internet.

Por poner ejemplos, tenemos la API de Flickr que permite exportar tus fotos a otros servicios web pero tienes que introducir tu login y contraseña, tienes que confiar que protegerán bien tus datos. Y así con cada uno de los servicios que ofrecen APIs, APIs distintas que hacen volverse loco incluso al más brillante desarrollador.

Por eso gente de OpenID, Twitter, Jaiku, Ma.gnolia, Plaxo, Pownce, Google, Yahoo y más gente independiente están trabajando para hacer este protocolo estándar. Para ello se están basando en las convenciones ya establecidas en protocolos como el Google’s AuthSub, AOL’s OpenAuth, Yahoo’s BBAuth and FlickrAuth y Facebook’s FacebookAuth. Ya hay unas cuantas librerías hechas (PHP, Python, Ruby, Perlo, C#) y el proyecto de estándar soporta también móviles y aplicaciones de escritorio.

Y esto tiene mucho que ver con el tema de la apertura de las redes sociales que Six Apart formalizó en un gran artículo. ¿Por qué rellenar 20 perfiles cuando con hacerlo una vez basta? ¿Por qué no delimitar qué pueden ver en cada red social? ¿Por qué no aceptar de una vez que las fotos son tuyas, y que debes poder hacer con ellas lo que quieras y no lo que te obligue el servicio web?

Estaremos atentos al 1 de Noviembre (ese mismo día también habrá una renovación profunda de Tumblr)