BT
x Por favor preencha a pesquisa do InfoQ !

Novos rumos do OAuth 2.0: Criador deixa especificação e critica padrão

por Adalberto Zanata em 13 Ago 2012 |

A última semana de julho foi tumultuada para os adeptos do OAuth, um protocolo aberto que possibilita a autorização segura entre aplicações web, desktop e móveis. Tudo começou quando Eran Hammer-Lahav, criador do protocolo original em 2006, anunciou seu desligamento da equipe e declarou em seu blog que desaprova o rumo tomado no projeto de padronização a partir da sua segunda versão. Hammer-Lahav diz:

Quando comparado ao OAuth 1.0, a especificação 2.0 é mais complexa, menos interoperável, menos eficaz, mais incompleta e, o mais importante, menos segura.

Ao apresentar a versão 2.0 do OAuth, Hamer-Lahav destacou que esta deveria trazer melhorias significativas sobre a versão 1.0, lançada em 2007, e que havia uma previsão para que se terminasse o trabalho no final de 2010. Ao invés disso, o que se seguiu foi uma sequência de atrasos e conflitos de interesse com o grupo de trabalho do OAuth no IETF (Internet Engineering Task Force), que atualmente é quem define a especificação do padrão. Pouco antes do lançamento, o processo de padronização do OAuth 2.0 pelo IETF, segundo Hamer-Lahav, caiu nas garras das prioridades impostas pelas empresas.

O coração do problema é o conflito entre os mundos web e corporativo. O grupo de trabalho OAuth no IETF começou com uma forte presença na web, mas conforme o trabalho se arrastava (cada vez mais), passado o primeiro ano, o pessoal da web foi se afastando, juntamente com os demais membros da comunidade original da versão 1.0. Restou um grupo composto, em sua grande maioria, por empresas... e eu.

Em outro trecho, o criador do OAuth complementa:

A especificação resultante é uma colcha de retalhos, projetada por um comitê que serve principalmente ao mundo corporativo.

Muitos concordaram com o seu ponto de vista, como Tim Bray do Google, que fez observações sobre as dificuldades trazidas para os desenvolvedores na versão 2.0; assim como Ian Hickson, autor da especificação WebApplications 1.0/HTML5, que mencionou que gostaria que Hammer-Lahav tivesse passado por essa experiência antes de tê-lo convencido a deixar o padrão WebSockets nas mãos do IETF.

Após alguns dias de tumulto e uma certa dose de hostilidade, Hammer-Lahav fez nova publicação, procurando deixar claro que, apesar do seu desligamento e da sua percepção negativa, o projeto continuaria seguindo adiante, mesmo sem a sua participação e o seu aval.

Há muitos projetos que se baseiam no OAuth 2.0, como é o caso do UMA e do OMAP, em que as equipes estão satisfeitas com a última especificação. O que Hamer-Lahav tenta reforçar é que, para uma boa parte dos desenvolvedores, o padrão proposto é seguido; mas que muitos desenvolvedores não se atêm aos detalhes da especificação, gerando problemas de integração e segurança, devido à complexidade que não existia na primeira versão.

Sem a participação de Hammer-Lahav e após todas as suas declarações, que ainda repercutem, resta-nos esperar para ver que rumo tomará a padronização do protocolo OAuth.

Avalie esse artigo

Relevância
Estilo/Redação

Olá visitante

Você precisa cadastrar-se no InfoQ Brasil ou para enviar comentários. Há muitas vantagens em se cadastrar.

Obtenha o máximo da experiência do InfoQ Brasil.

Dê sua opinião

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber mensagens dessa discussão
Comentários da comunidade

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber mensagens dessa discussão

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber mensagens dessa discussão

Dê sua opinião
Feedback geral
Bugs
Publicidade
Editorial
Marketing
InfoQ Brasil e todo o seu conteúdo: todos os direitos reservados. © 2006-2016 C4Media Inc.
Política de privacidade
BT

Percebemos que você está utilizando um bloqueador de propagandas

Nós entendemos porquê utilizar um bloqueador de propagandas. No entanto, nós precisamos da sua ajuda para manter o InfoQ gratuito. O InfoQ não compartilhará seus dados com nenhum terceiro sem que você autorize. Procuramos trabalhar com anúncios de empresas e produtos que sejam relevantes para nossos leitores. Por favor, considere adicionar o InfoQ como uma exceção no seu bloqueador de propagandas.