Frente al surgimiento de cientos de aplicaciones para Twitter, desde hace un tiempo Twitter.com decidió ajustar su sistema de seguridad con la autorización del acceso a sus servicios desde programas externos.
Para esto ahora se utiliza el protocolo OAuth, que permite a sitios web o aplicaciones acceder a recursos protegidos de un servicio web a través de una API, sin necesidad de que los usuarios revelen sus datos.
Se basa en los protocolos existentes y de las mejores prácticas que se han implementado de forma independiente por varios sitios web. Es un estándar abierto, que promueve una experiencia consistente y confiable tanto para los desarrolladores de aplicaciones y los usuarios de esas aplicaciones.
Dentro de la terminología OAuth existen una serie de definiciones que se aplican dentro de su desarrollo y son esenciales para entender su funcionamiento (mucho más si deseamos desarrollar una aplicación para twitter), tenemos:
Service Provider “Proveedor de Servicio”: una aplicación web donde se usara el protocolo OAuth (en nuestro caso twitter).
User “Usuario”: un individuo con cuenta en el Proveedor de Servicio (usuario de twitter, nosotros).
Consumer “Consumidor”: un sitio web o aplicación con acceso al Proveedor de Servicio.
Protected Resource(s) “Recurso(s) Protegido(s)”: datos controlados por el Proveedor de Servicio con acceso mediante la autentificación del usuario.
Consumer Key “Clave del consumidor”: un valor usado por el consumidor para identificarse en el Proveedor de Servicio.
Consumer Secret “Secreto del Consumidor”: un valor secreto que determina la propiedad de la clave del consumidor.
Request Token “Solicitud de Token”: un valor usado por el consumidor para obtener una autorización del usuario.
Access Token “Token de acceso”: un valor usado por el consumidor para tener acceso a los Recursos protegidos por el usuario.
Token Secret “Token secreto”: un valor secreto usado por el consumidor para establecer la propiedad del token.
OAuth Protocol Parameters “Parámetros de Protocolo OAuth”: parámetros con nombre de inicio “oauth_”.
Autenticidad con OAuth
User “Usuario”: un individuo con cuenta en el Proveedor de Servicio (usuario de twitter, nosotros).
Consumer “Consumidor”: un sitio web o aplicación con acceso al Proveedor de Servicio.
Protected Resource(s) “Recurso(s) Protegido(s)”: datos controlados por el Proveedor de Servicio con acceso mediante la autentificación del usuario.
Consumer Key “Clave del consumidor”: un valor usado por el consumidor para identificarse en el Proveedor de Servicio.
Consumer Secret “Secreto del Consumidor”: un valor secreto que determina la propiedad de la clave del consumidor.
Request Token “Solicitud de Token”: un valor usado por el consumidor para obtener una autorización del usuario.
Access Token “Token de acceso”: un valor usado por el consumidor para tener acceso a los Recursos protegidos por el usuario.
Token Secret “Token secreto”: un valor secreto usado por el consumidor para establecer la propiedad del token.
OAuth Protocol Parameters “Parámetros de Protocolo OAuth”: parámetros con nombre de inicio “oauth_”.
Autenticidad con OAuth
Para entender cómo funciona OAuth es necesario explicarlo con un pequeño ejemplo. Imaginemos un usuario “User” que regresa de un viaje de vacaciones y posteriormente sube sus fotos a un Proveedor de servicio “Service Provider” donde las personas comparten las fotos de sus viajes. Para esto el usuario se registra mediantes su nombre de usuario y contraseña y procede a subir las fotos.
Tras esto el usuario desea imprimir sus fotos para enviárselas a un familiar por correo tradicional y utiliza un servicio web de impresión (en este caso el Consumidor “Consumer”) del cual tiene varios servicios de importación de fotos con otros Proveedores de Servicio. Cuando este servicio de importación de fotos añadió el soporte de importación desde el Proveedor de Servicio (en este caso donde el usuario cargo sus fotos) se utilizo OAuth para obtener la clave del consumidor “Consumer Key” y el Secreto del Consumidor “Consumer Secret”.
Cuando el usuario permite la importación desde este servicio, el servicio de impresión de fotos envía una Solicitud de Token “Request Token”, en este momento los parámetros “Consumer Key” y “Consumer Secret” no están especificados para un usuario en específico. Cuando el usuario es redireccionado al Proveedor de Servicio donde había cargado las fotos anteriormente para que se registre (OAuth requiere que primero autentifique al usuario y luego permita el acceso al Consumidor) y acepta el Proveedor de Servicio marca el Token de Solicitud con autorizado.
Mientas el proceso se inicializa, el Consumidor utiliza el “Request Token” y lo cambian por un Token de Acceso “Access Token” para acceder a los Recursos Protegidos “Protected Resources” del usuario (las fotos). Es aquí donde las fotos son importadas al servicio de impresión de fotos y son enviadas por correo al familiar del usuario. En ningún momento los datos del usuario son dados al Consumidor por parte del Proveedor de Servicio.
Con OAuth se estandariza el acceso de todas las aplicaciones a Twitter, dándonos más seguridad, estabilidad y confiabilidad sobre la manipulación de nuestros datos por parte de las aplicaciones.
Tags Blogalaxia: OAuth Programación Seguridad Twitter
Estimados buendia,
ResponderEliminartengo un software a la venta que lo estan utilizando varias personas (software libre es decir, lo compran y pueden distribuirlo) Utiliza necesariamente php+mysql+api rest+cronjob
Este realiza pagos de seguidores mediante Retweets, Recomendaciones y Promociones, utilizando las cuentas grandres de twitter, y fakes (todas propias de cada usuario).
Cualquier consulta o inquietudes a german.quisbert@gmail.com directamente
Un abrazo