OAuth 2.0 est un protocole d'autorisation d'accès à des données. Il s'incrit dans la mouvance RESTful où c'est la sécurisation des données qui compte et où l'idéologie dominante est que la donnée doit être fluide dans les SI.

Selon moi c'est incomplet et cela fait partie des saletés poussées par les GAFAM qui vivent de la récolte et de l'échange des données, tels des vampires.

En complément, cela me semble être très mal indiqué dans le monde industriel "classique" où il figure plusieurs niveaux de sécurité.

Je m'explique :

1. L'identification
   On déclare qui on est et c'est tout.

2. L'authentification
   On prouve que l'on est bien celui que l'on prétend être (par un mot de passe ou un challenge cryptographique par exemple).

3. L'autorisation (d'accéder aux données)
   On peut récupérer les données sensibles ou personnelles qui sont entreposées pour nous dans un système.

4. L'habilitation (à effectuer des modifications sur les données)
   On peut créer ou modifier des données sensibles ou personnelles qui sont entreposées pour nous dans un système.

5. L'accréditation (permettant de lancer certains traitements)
   On peut déclencher des actions sur le serveur qui vont impacter les données. Par exemple supprimer une donnée, lancer un calcul complexe s'exerçant sur les données, ou plus modestement, passer une commande ou signer un document, etc.

OAuth 2.0 répond uniquement au point (3), ce qui représente une usine à gaz pour peu de choses au final. Mais vous permettez aux GAFAM de s'interfacer facilement avec votre SI.

De plus, le protocole part du principe que dès qu'une autorisation est octroyée, alors aussitôt tous les traitements sont permis, comme si certaines actions n'étaient pas réservées qu'aux admins, aux commerciaux, à la direction, à l'ingénierie, etc.

Bref mon sentiment à l'égard d'OAuth 2.0 se cristallise autour d'un "mouais".

@Doudou il faut que nous en discutions.