neunetz.com

Wirtschaft im digitalen Zeitalter.

You are here: Home / Archives for OAuth

OAuth

OpenID & Co.: The Next Web und die Sache mit den korrekten Informationen

by Leave a Comment

Von Carsten Pötter

Gestern veröffentlichte das Techblog The Next Web einen Artikel von Brad McCarty über Facebook Connect, OAuth und OpenID. Selbstbewusst wählte er die Überschrift Facebook Connect, OAuth and OpenID: The differences and the future. Da erwartet der geneigte Leser so etwas wie eine Analyse oder zumindest gut recherchierte Hintergrundinformationen. Was McCarty dann aber zu sagen hat, ist mehr als dürftig. Teils sind die Informationen falsch oder im Fall von Facebook Connect und OAuth schlicht nicht mehr aktuell. Wäre der Artikel vor zwei Jahren erschienen, wäre das alles vielleicht noch OK gewesen sein. Heute jedenfalls nicht mehr.

Zu OpenID schreibt er:

There’s also the problem that it requires more than one handshake (introduction) in order to get data stored on a server. In fact, OpenID cannot, at this point, acquire that information on its own. It has to send a second request for OAuth to handle the information transfer.

Es wird nicht klar, welche Daten er meint. Grundsätzlich benötigt OpenID aber nicht OAuth, um Profildaten zu übertragen. Die Extensions Simple Registration (nur wenige Daten, zugegeben) und Attribute Exchange erledigen das ohne OAuth. Und:

Rumors are swirling that OpenID is working on a new standard called OpenID Connect that will be built on top of OAuth.

Naja, das sind nicht mehr nur Gerüchte. McCarty verlinkt doch explizit auf die Seite.

Über Facebook Connect weiß McCarty zu berichten:

With Facebook Connect, what we see are elements of both OpenID and OAuth. Facebook Connect can verify that you are who you say you are, and it can then provide access to your data once you’ve given it permission to do so.

Seit Facebook groß seine Open Graph API ankündigte, benutzt man dort OAuth 2: Facebook Platform uses the OAuth 2.0 protocol for authentication and authorization

OAuth 2 ist momentan allerdings noch ein Draft.

Leider ist McCarty nicht der einzige, der auf großen Techblogs bei diesen Themen versagt. In der Regel bringen solche Blogs inzwischen nur noch News; Analysen oder tiefer gehende Informationen kommen da zu kurz. Jedes Blog möchte eine „wichtige“ Nachricht von Apple, Twitter oder Facebook als erstes bringen. Da zählt nur noch der Faktor Zeit. Andererseits ist die Open Web Community – um es vorsichtig auszudrücken – sehr zurückhaltend, auf diesen Blogs zu kommentieren und falsche Informationen zu berichtigen.

Deshalb ist es zu begrüßen, dass die OpenID Foundation den Blogger Jesse Stay angeheuert hat, um zukünftig über die Entwicklungen dort zu berichten.

OAuth: Jetzt bei GMail für IMAP/SMTP; bald auch bei Google Reader?

by Leave a Comment

GMail bekommt OAuth-Authentifizierung.

Was das bedeutet: Social Networks, auf denen man sich neu anmeldet, kann man künftig Zugriff auf das Adressbuch gewähren, ohne dass man ihnen vorher das Passwort geben musss.

Auch Drittanbieter-Applikationen für GMail sind jetzt einsetzbar, ohne die Login-Daten weitergeben zu müssen:

While it is possible for a user to authorize this access by disclosing their Google Account password to the third party app, it is more secure for the app developer to use the industry standard protocol called OAuth which enables the user to give their consent for specific access without sharing their password. Most Google APIs support this OAuth standard, and starting today it is also available for the IMAP/SMTP feature of Gmail.

Die iPhone-Anwendungen für GoogleReader MobileRSS und NetNewsWire haben just Updates herausgebracht, bei denen vermerkt wurde, dass eine neue Authentifizierungsform ab April bei GoogleReader notwendig sein wird.

Höchstwahrscheinlich bekommt GoogleReader also im April ebenfalls OAuth-Authentifizierung und damit vielleicht endlich auch die offizielle API.