OAuth is een open autorisatiestandaard die wordt gebruikt om veilige clienttoepassingstoegang tot serverbronnen te bieden. Het OAuth-autorisatieframework stelt een toepassing van een derde partij in staat om beperkte toegang te verkrijgen tot een HTTP-service, hetzij namens de eigenaar van een bron, hetzij door de toepassing van derden namens zichzelf toegang te geven.
Met OAuth kunnen servereigenaren toegang verlenen tot de serverbronnen zonder inloggegevens te delen. Dit betekent dat de gebruiker toegang kan verlenen tot privébronnen van de ene server naar een andere serverbron zonder hun identiteit te delen.
OAuth lost traditionele client-serververificatieproblemen op
OAuth is ontworpen voor problemen en beperkingen die worden aangetroffen in het traditionele client-serververificatiemodel waarbij applicaties van derden vereist zijn om de inloggegevens van de resource-eigenaar op te slaan voor toekomstig gebruik en waar resource-eigenaren de toegang tot een individuele derde partij niet kunnen intrekken zonder de toegang voor alle derde partijen in te trekken .
OAuth lost deze problemen op door een autorisatielaag te introduceren en de rol van de client te scheiden van die van de resource-eigenaar. In plaats van de referenties van de resource-eigenaar te gebruiken om toegang te krijgen tot beveiligde resources, verkrijgt de client een toegangstoken, uitgegeven aan clients van derden door een autorisatieserver met goedkeuring van de resource-eigenaar.
Het OAuth-protocol
Het OAuth 1.0-protocol (RFC5849), gepubliceerd als een informatief document, was het resultaat van een kleine ad hoc inspanning van de gemeenschap. Het OAuth 2.0-protocol is niet achterwaarts compatibel met OAuth 1.0.
OAuth-beveiligingsfouten
In mei 2014 werd een beveiligingsfout ontdekt in de veelgebruikte OAuth- en OpenID-authenticatiemechanismen voor websites. De fout zat niet in OAuth 2, maar was het resultaat van de manier waarop sommige bedrijven de standaarden implementeerden, voornamelijk in situaties waarin open omleidingen werden gebruikt. Naar aanleiding van nieuws over de beveiligingsfout, zei Google dat het strenger zal zijn bij het beveiligen van gebruikers wanneer ze inloggen op hun accounts door aanvullende autorisatiecontroles toe te passen.