En la actualidad la tecnología nos permite estar
comunicados e informados es por eso que continuamente estamos navegando en
internet visitando numerosas páginas web, plataformas, así como diversos
programas y aplicaciones, es aquí donde interviene la seguridad que nos brinda OAuth.
Todas estas
herramientas tienen un punto en común, y es que pueden interconectarse entre
ellas y así manejar fácilmente los datos personales del usuario, de allí que OAuth se encargue de minimizar los
peligros que implican la utilización de nuestros datos sin la debida autorización.
Que es OAuth
Open Authorization (OAuth),
se define como un protocolo de autorización estándar abierto, el cual permite
que las páginas web o las diversas aplicaciones puedan adquirir de manera
sencilla, accesibilidad en forma segura a la información personal contenida en
la interface.
Mediante este
protocolo Facebook, en un determinado momento, puede permitir que cualquier otra aplicación o pagina web, entre
al perfil del usuario, sin que sea necesario el intercambio de
información personal entre ellos, conservando así el usuario el control total
de datos.
Roles o flujos en OAuth2
Este protocolo utiliza
cuatro roles o flujos para la autorización, los cuales son útiles en su
funcionamiento
1. Resource owner (usuario): es quien otorga el permiso para acceder a sus datos personales.
2. Resource server (servidor): es donde se guardan los datos protegidos
del usuario.
3. Cliente (third-party o tercero): aplicación que solicita el acceso a
los datos protegidos del usuario.
4. Authorization server: servidor que certifica al usuario emitiendo un
access token temporal en un sitio (scope) establecido por el dueño del recurso.
Funcionamiento de OAuth
1. El cliente requiere permiso al resource owner mediante el authorization server.
2. El resource owner lo aprueba mediante un flujo de autorización.
3. El cliente requiere de un access token al authorization server luego de
recibir la aprobación de la
autorización.
4. El authorization server certifica la autorización emitiendo un access
token.
5. El cliente requiere al resource server, mediante el access token, los
datos protegidos del resource owner.
6. El resource server, a través del access token, suministra los datos
solicitados por el cliente
Este protocolo trabaja
mediante la transferencia de hipertexto (HTTP), y normalmente es utilizado al
iniciar sesión en páginas web de terceros con cuentas de Google, Facebook o
Twitter, sin tener miedo a que su contraseña sea revelada, y su funcionamiento
se puede definir más claramente de la siguiente manera:
OAUTH
usa tokens de acceso los cuales son emitidos a través del servidor de
autenticación contando con el permiso del usuario final, y de esta manera poder
acceder a los datos personales archivados en el servidor de recursos.
Ventajas del OAUTH
1. Mantiene la información de los usuarios a buen resguardo en caso de producirse un hackeo en alguna aplicación.
2. Los pares de tokens que se emiten son únicos, y por lo tanto no se puede acceder a ninguna aplicación sin la autorización del usuario y la misma.
3. Los datos pueden ser compartidos sin necesidad de descubrir la información personal.
4. El protocolo utiliza SSL (Secure Sockets Layer), el cual codifica las
conexiones permitiendo el access token seguro.
Desventajas del OAUTH
La mayor desventaja de
este protocolo es su fiabilidad y por consiguiente su seguridad, la que no se
puede demostrar, por lo que diversas amenazas se servirían de usuarios que
están activos en internet y sustraer información personal que los convierte en
víctimas de ataques cibernéticos.
No hay comentarios:
Publicar un comentario