por Charles Miller

Alguien me pidió recientemente que explicara "OAuth." Bueno, en realidad me pidió que explicara por qué algunos de sus sitios web favoritos dicen "Iniciar sesión con Google+" o "Iniciar sesión con Facebook" o "Iniciar sesión con Twitter." Eso es OAuth.

OAuth (Open standard for AUTHorization) es un marco para un protocolo de seguridad estándar abierto para la autorización basada en tokens de credenciales de inicio de sesión utilizadas en línea. Traducción española: OAuth es el sistema utilizado por algunos sitios web que le permiten utilizar su Facebook o Google o alguna otra contraseña en lugar de hacer una nueva contraseña para ese sitio. Esto significa que no es necesario crear o utilizar un nombre de usuario y contraseña separados para los sitios web que ofrecen el uso de OAuth.

La siguiente es una simplificación excesiva, pero básicamente la forma en que OAuth funciona es que simplifica los inicios de sesión para el usuario. Por ejemplo, si visitas digitalocean.com y haces clic en el botón [Iniciar sesión] se te pedirá que introduzcas la dirección de correo electrónico y la contraseña que se creó para digitalocean.com. Pero si no tienes una contraseña para digitalocean.com tienes la opción de hacer clic en el botón [Iniciar sesión con Google]. Si lo haces, serás trasladado inmediatamente del sitio digitalocean.com al sitio google.com, donde ingresarás tu nombre de usuario y contraseña de Google. Una vez hecho esto, Google inmediatamente te envía de vuelta al sitio digitalocean.com junto con un "token." Piensa en el token como una nota de google.com a digitalocean.com diciendo "Nosotros en Google conocemos a esta persona; saben la contraseña correcta para entrar en google.com por lo que en Google creemos que puedes dejarlo entrar en digitalocean.com ahora." Si ya has iniciado sesión en Gmail, el proceso es aún más fácil. El proceso para obtener el token se denomina flujo de autorización.

Todo esto se podría hacer sin exponer cualquiera de tus credenciales de cuenta de Google para el otro sitio web de terceros. Sin embargo, empresas como Google suelen proporcionar OAuth a cambio de otros sitios que entregan seguimiento detallado de todo lo que haces en un sitio web después de usar OAuth. Usé la palabra "podría" en la última frase porque... bueno, solo recuerda que a menudo estás tratando con Google y/o Facebook aquí. Esas empresas obtienen gran parte de sus ingresos de la venta de publicidad y luego venden la información personal. Darles aún más formas de realizar un seguimiento más preciso de dónde vas y lo que haces en línea no es la preferencia de todos.

Hay docenas de empresas que proporcionan servicios de OAuth; incluyendo Amazon, LinkedIn, PayPal, Yahoo y otros. Cerca de la parte superior de la lista es Apple, lo que significa que puede utilizar su AppleID para iniciar sesión en los sitios que ofrecen la opción [Iniciar sesión con Apple]. Eso le dará a Apple una visión más completa de tus hábitos en línea, pero Apple afirma que no vende su información. Dado que Apple tiene un historial de ser una de las empresas más estrictas y conscientes de la seguridad, es más fácil confiar en Apple que otros proveedores de OAuth que ganan su dinero con la publicidad y/o la venta de tu información.

Así que, ¿debes utilizar OAuth o no? No hay respuesta correcta o incorrecta. Si no te molesta el seguimiento generalizado de tus actividades en línea, usar OAuth puede ser una verdadera comodidad. En cuanto a la seguridad, es más seguro que muchas otras alternativas.

**************

Charles Miller es un consultor informático independiente con décadas de experiencia en TI y un tejano con un amor de por vida por México. Las opiniones expresadas son suyas. Puede ponerse en contacto con él al 415-101-8528 o al correo electrónico FAQ8 (at) SMAguru.com.

Descubre Lokkal:
Vea el video de dos minutos a continuación.
Luego, justo debajo de eso, desplácese hacia abajo por el muro comunitario de SMA.
Misión<

Visit SMA's Social Network

Contact / Contactar