Alfonso Maruccia

OAuth 2.0, se lo standard non basta

Uno sviluppatore impegnato nella realizzazione delle nuove specifiche parla di un brutto standard e di una tecnologia pensata per fare comodo alle aziende e non agli utenti

Roma - Piccolo terremoto in seno allo sviluppo di OAuth 2.0, nuova revisione dello standard di interoperabilità fra siti web per l'accesso trasparente e la condivisione di contenuti fra gli utenti: Eran Hammer se ne va via sbattendo la porta, accusando IETF di sottomissione alle esigenze delle aziende e dicendo di non voler avere più niente a che fare con OAuth 2.0.

Hammer abbandona i lavori di sviluppo dopo tre anni passati come principale contributore al progetto OAuth, una tecnologia che col tempo si è evoluta ed è stata "accolta" sotto l'ala protettiva della Internet Engineering Task Force (IETF appunto) per la standardizzazione formale.

Peggior errore di passare sotto la gestione di IETF non poteva esserci, dice ora Hammer: rispetto alla prima revisione, dice lo sviluppatore, OAuth 2.0 si presenta come un "cattivo" protocollo frutto di compromessi che hanno generato una specifica "incapace di realizzare i suoi due principali obiettivi - sicurezza e interoperabilità".
Mancanza di specifiche per componenti di sicurezza essenziali, complicazione del processo di autorizzazione e altre magagne ancora: per Hammer OAuth 2.0 è un passo indietro nel cammino verso l'interoperabilità tra servizi web che apre "una intera nuova frontiera" alle aziende specializzate per la vendita di "servizi di consulenza e soluzioni di integrazione".

Hammer se la prende con IETF che pensa solo e soltanto agli utilizzi cari all'ambiente enterprise e se ne infischia della facilità di implementazione che potrebbe favorire l'utente comune, arrivando al punto da voler cancellare ogni singola connessione tra il suo lavoro e le specifica standard. "La più grande delusione professionale della mia carriera", confessa sconsolato lo sviluppatore.

Alfonso Maruccia
1 Commenti alla Notizia OAuth 2.0, se lo standard non basta
Ordina
  • Come da titolo.
    Sono autodidatta e faccio tutt'altro per lavoro nella vita, ma ho amatorialmente imparato ad usare php e mysql al punto da scrivere in proprio partendo da zero sia un sito di annunci dinamico, con ricerca geografica, sottoscrizioni via mail, eccetera eccetera, sia una piattaforma gestionale su server LAMP virtualizzato, non per dire che sono nembokid, ma piuttosto per chiarire che non sono un niubbo incapace qualunque.

    Ebbene, OAuth è arabo, non esiste un modo chiaro ed esemplificativo per implementarlo, se non studiarsi il protocollo nella sua interezza ed estrapolare le informazioni necessarie a tradurlo in codice funzionante.
    Non ci sono esempi, stralci di codice PHP con relativo backend mysql per chiarire come farlo funzionare, e poi da espandere all'occorrenza nei propri progetti e per le proprie esigenze.
    Quelle poche librerie che ci sono non funzionano più, funzionano male, oppure sono pessimamente commentate, e stiamo parlando solo di OAuth 1, quello ad esempio ancora in uso su imgur (e anche twitter mi sembra).

    Se poi ti serve l'OAuth 2 per autenticarti con facebook, e fare una banalissima applicazione, allora puoi pure cominciare a comprarti un vagone di ceri da accendere a madonna e santi, perché entriamo nel regno dell'aleatorietà pura.