Novos rumos do OAuth 2.0: Criador deixa especificação e critica padrão

A última semana de julho foi tumultuada para os adeptos do OAuth, um protocolo aberto que possibilita a autorização segura entre aplicações web, desktop e móveis. Tudo começou quando Eran Hammer-Lahav, criador do protocolo original em 2006, anunciou seu desligamento da equipe e declarou em seu blog que desaprova o rumo tomado no projeto de padronização a partir da sua segunda versão. Hammer-Lahav diz:

Quando comparado ao OAuth 1.0, a especificação 2.0 é mais complexa, menos interoperável, menos eficaz, mais incompleta e, o mais importante, menos segura.

Ao apresentar a versão 2.0 do OAuth, Hamer-Lahav destacou que esta deveria trazer melhorias significativas sobre a versão 1.0, lançada em 2007, e que havia uma previsão para que se terminasse o trabalho no final de 2010. Ao invés disso, o que se seguiu foi uma sequência de atrasos e conflitos de interesse com o grupo de trabalho do OAuth no IETF (Internet Engineering Task Force), que atualmente é quem define a especificação do padrão. Pouco antes do lançamento, o processo de padronização do OAuth 2.0 pelo IETF, segundo Hamer-Lahav, caiu nas garras das prioridades impostas pelas empresas.

O coração do problema é o conflito entre os mundos web e corporativo. O grupo de trabalho OAuth no IETF começou com uma forte presença na web, mas conforme o trabalho se arrastava (cada vez mais), passado o primeiro ano, o pessoal da web foi se afastando, juntamente com os demais membros da comunidade original da versão 1.0. Restou um grupo composto, em sua grande maioria, por empresas... e eu.

Em outro trecho, o criador do OAuth complementa:

A especificação resultante é uma colcha de retalhos, projetada por um comitê que serve principalmente ao mundo corporativo.

Muitos concordaram com o seu ponto de vista, como Tim Bray do Google, que fez observações sobre as dificuldades trazidas para os desenvolvedores na versão 2.0; assim como Ian Hickson, autor da especificação WebApplications 1.0/HTML5, que mencionou que gostaria que Hammer-Lahav tivesse passado por essa experiência antes de tê-lo convencido a deixar o padrão WebSockets nas mãos do IETF.

Após alguns dias de tumulto e uma certa dose de hostilidade, Hammer-Lahav fez nova publicação, procurando deixar claro que, apesar do seu desligamento e da sua percepção negativa, o projeto continuaria seguindo adiante, mesmo sem a sua participação e o seu aval.

Há muitos projetos que se baseiam no OAuth 2.0, como é o caso do UMA e do OMAP, em que as equipes estão satisfeitas com a última especificação. O que Hamer-Lahav tenta reforçar é que, para uma boa parte dos desenvolvedores, o padrão proposto é seguido; mas que muitos desenvolvedores não se atêm aos detalhes da especificação, gerando problemas de integração e segurança, devido à complexidade que não existia na primeira versão.

Sem a participação de Hammer-Lahav e após todas as suas declarações, que ainda repercutem, resta-nos esperar para ver que rumo tomará a padronização do protocolo OAuth.