La palabra "OAuth" no se traduce; es una abreviatura del inglés "Open Authorization". Generalmente se usa tal cual en español y se refiere a un estándar abierto para autorización, utilizado como una forma de que las aplicaciones de terceros otorguen acceso a la información de un usuario sin exponer las contraseñas.

OAuth

OAuth, abreviatura de "Autorización Abierta," es un marco estándar que permite a las aplicaciones de terceros acceder a la cuenta de un usuario sin obtener acceso a las credenciales de inicio de sesión del usuario. Permite a los usuarios conceder acceso limitado a sus recursos en un sitio a otro sitio sin compartir sus contraseñas.

Cómo Funciona OAuth

OAuth opera a través de una serie de pasos que involucran la autorización del usuario, el intercambio de credenciales y el acceso seguro a los recursos. Los pasos principales involucrados en el proceso OAuth son los siguientes:

1. Autorización del Usuario: Cuando un usuario intenta acceder a un servicio a través de una aplicación de terceros, la aplicación solicita permiso al usuario para acceder a su cuenta. El objetivo es establecer confianza entre el usuario, la aplicación de terceros y el proveedor del servicio.

2. Concesión de Autorización: Al recibir la solicitud de permiso, el usuario se autentica con el proveedor del servicio. Una vez autenticado, el proveedor del servicio genera una concesión de autorización, que representa el consentimiento del usuario para que la aplicación de terceros acceda a sus recursos.

3. Intercambio de Tokens: Con la concesión de autorización en mano, la aplicación de terceros la intercambia por un token de acceso del proveedor del servicio. Este token actúa como una credencial que permite a la aplicación acceder a los recursos del usuario en el servicio.

4. Acceso a Recursos: Finalmente, con el token de acceso, la aplicación de terceros puede acceder a los recursos del usuario en el servicio sin necesitar las credenciales de inicio de sesión del usuario. El token de acceso actúa como prueba de autorización.

Conceptos y Componentes Clave de OAuth

Clientes y Propietarios de Recursos

En el contexto de OAuth, el término Cliente se refiere a la aplicación de terceros que busca acceder a la cuenta de un usuario. El Propietario del Recurso es el usuario que posee los recursos a los que el cliente busca acceder. El propietario del recurso debe conceder explícitamente permiso al cliente antes de que se le otorgue acceso.

Servidor de Autorización y Servidor de Recursos

El Servidor de Autorización es responsable de autenticar al usuario y emitir la concesión de autorización. Actúa como un intermediario de confianza entre el cliente y el propietario del recurso. El Servidor de Recursos, por otro lado, aloja y gestiona los recursos del usuario. Verifica el token de acceso proporcionado por el cliente y otorga o deniega el acceso según corresponda.

Tipos de Concesión de Autorización

OAuth admite varios tipos de concesión de autorización para atender diferentes escenarios y requisitos de seguridad. Algunos tipos de concesión comúnmente utilizados incluyen:

• Código de Autorización: Este tipo de concesión es típicamente utilizado por aplicaciones web para obtener un token de acceso. El cliente primero redirige al usuario al servidor de autorización, donde el usuario inicia sesión y otorga su consentimiento. Luego, el servidor de autorización devuelve un código de autorización al cliente, el cual es intercambiado por un token de acceso.

• Implícita: Este tipo de concesión es adecuada para aplicaciones basadas en navegador o móviles. El token de acceso se obtiene directamente del servidor de autorización, sin necesidad de un código de autorización.

• Credenciales del Cliente: Este tipo de concesión se utiliza cuando el cliente actúa en su propio nombre, en lugar de hacerlo en nombre de un propietario de recurso. Permite al cliente intercambiar directamente sus propias credenciales (como un ID de cliente y un secreto de cliente) por un token de acceso.

Mejores Prácticas y Consejos de Prevención para OAuth

Para garantizar la seguridad y privacidad de tus cuentas al usar OAuth, es importante seguir las mejores prácticas y tomar medidas preventivas. Algunos consejos a considerar incluyen:

• Sé Selectivo: Solo autoriza aplicaciones de terceros que sean de buena reputación y confiables para acceder a tus cuentas. Revisa las opiniones y calificaciones antes de conceder permisos.

• Revisa Permisos: Revisa regularmente los permisos otorgados a aplicaciones de terceros que ya no uses o necesites. Revoca los permisos para las aplicaciones en las que ya no confíes o que ya no necesiten acceso.

• Usa Autenticación en Dos Factores: Implementa la autenticación en dos factores para una capa adicional de seguridad. Esto requiere que los usuarios proporcionen una información adicional, como un código de verificación, junto con su contraseña para acceder a sus cuentas.

• Mantente Informado: Mantente actualizado con las últimas alertas de seguridad y noticias sobre vulnerabilidades y mejores prácticas de OAuth. Estar consciente de los posibles riesgos y medidas de seguridad puede ayudarte a tomar decisiones informadas y proteger tus cuentas.

Términos Relacionados

• Código de Autorización: Un tipo de concesión de OAuth utilizado por aplicaciones web para intercambiar un código de autorización por un token de acceso.

• Token de Acceso: Una credencial utilizada por una aplicación para acceder a los recursos de un usuario, obtenida a través de OAuth.

• OAuth 2.0: Una versión actualizada de OAuth, que proporciona un marco más seguro y flexible para la autorización.

Referencias

1. OAuth 2.0 - IETF. (n.d.). Retrieved from https://tools.ietf.org/html/rfc6749
2. Authorization Code Grant vs Implicit Grant in OAuth 2.0 - OAuth.com (2020). Retrieved from https://www.oauth.com/oauth2-servers/authorization/the-authorization-response/
3. Preventing OAuth Phishing Attacks - Google Developers (n.d.) Retrieved from https://developers.google.com/identity/protocols/oauth2/user-credentials