Von Carsten Pötter
Gestern veröffentlichte das Techblog The Next Web einen Artikel von Brad McCarty über Facebook Connect, OAuth und OpenID. Selbstbewusst wählte er die Überschrift Facebook Connect, OAuth and OpenID: The differences and the future. Da erwartet der geneigte Leser so etwas wie eine Analyse oder zumindest gut recherchierte Hintergrundinformationen. Was McCarty dann aber zu sagen hat, ist mehr als dürftig. Teils sind die Informationen falsch oder im Fall von Facebook Connect und OAuth schlicht nicht mehr aktuell. Wäre der Artikel vor zwei Jahren erschienen, wäre das alles vielleicht noch OK gewesen sein. Heute jedenfalls nicht mehr.
Zu OpenID schreibt er:
There’s also the problem that it requires more than one handshake (introduction) in order to get data stored on a server. In fact, OpenID cannot, at this point, acquire that information on its own. It has to send a second request for OAuth to handle the information transfer.
Es wird nicht klar, welche Daten er meint. Grundsätzlich benötigt OpenID aber nicht OAuth, um Profildaten zu übertragen. Die Extensions Simple Registration (nur wenige Daten, zugegeben) und Attribute Exchange erledigen das ohne OAuth. Und:
Rumors are swirling that OpenID is working on a new standard called OpenID Connect that will be built on top of OAuth.
Naja, das sind nicht mehr nur Gerüchte. McCarty verlinkt doch explizit auf die Seite.
Über Facebook Connect weiß McCarty zu berichten:
With Facebook Connect, what we see are elements of both OpenID and OAuth. Facebook Connect can verify that you are who you say you are, and it can then provide access to your data once you’ve given it permission to do so.
Seit Facebook groß seine Open Graph API ankündigte, benutzt man dort OAuth 2: Facebook Platform uses the OAuth 2.0 protocol for authentication and authorization
OAuth 2 ist momentan allerdings noch ein Draft.
Leider ist McCarty nicht der einzige, der auf großen Techblogs bei diesen Themen versagt. In der Regel bringen solche Blogs inzwischen nur noch News; Analysen oder tiefer gehende Informationen kommen da zu kurz. Jedes Blog möchte eine "wichtige" Nachricht von Apple, Twitter oder Facebook als erstes bringen. Da zählt nur noch der Faktor Zeit. Andererseits ist die Open Web Community - um es vorsichtig auszudrücken - sehr zurückhaltend, auf diesen Blogs zu kommentieren und falsche Informationen zu berichtigen.
Deshalb ist es zu begrüßen, dass die OpenID Foundation den Blogger Jesse Stay angeheuert hat, um zukünftig über die Entwicklungen dort zu berichten.