OAuth 2.0 est un protocole d'autorisation d'accès à des données. Il s'incrit dans la mouvance RESTful où c'est la sécurisation des données qui compte et où l'idéologie dominante est que la donnée doit être fluide dans les SI.
Selon moi c'est incomplet et cela fait partie des saletés poussées par les GAFAM qui vivent de la récolte et de l'échange des données, tels des vampires.
En complément, cela me semble être très mal indiqué dans le monde industriel "classique" où il figure plusieurs niveaux de sécurité.
Je m'explique :
-
L'identification
On déclare qui on est et c'est tout. -
L'authentification
On prouve que l'on est bien celui que l'on prétend être (par un mot de passe ou un challenge cryptographique par exemple). -
L'autorisation (d'accéder aux données)
On peut récupérer les données sensibles ou personnelles qui sont entreposées pour nous dans un système. -
L'habilitation (à effectuer des modifications sur les données)
On peut créer ou modifier des données sensibles ou personnelles qui sont entreposées pour nous dans un système. -
L'accréditation (permettant de lancer certains traitements)
On peut déclencher des actions sur le serveur qui vont impacter les données. Par exemple supprimer une donnée, lancer un calcul complexe s'exerçant sur les données, ou plus modestement, passer une commande ou signer un document, etc.
OAuth 2.0 répond uniquement au point (3), ce qui représente une usine à gaz pour peu de choses au final. Mais vous permettez aux GAFAM de s'interfacer facilement avec votre SI.
De plus, le protocole part du principe que dès qu'une autorisation est octroyée, alors aussitôt tous les traitements sont permis, comme si certaines actions n'étaient pas réservées qu'aux admins, aux commerciaux, à la direction, à l'ingénierie, etc.
Bref mon sentiment à l'égard d'OAuth 2.0 se cristallise autour d'un "mouais".
@Doudou il faut que nous en discutions.
Tout est dans le titre. Je dois implémenter un système d'authentification et d'autorisation. OAuth2 répond à une partie de mes besoins.
Soyons clairs : LE SSLV3 est une pure saloperie bardée de failles de sécurités en tout genre. Il faut utiliser SSLV2 à la place. Mozilla l'a dont désactivé par défaut pour protéger ses utilisateurs d'un protocole qui donne l'impression d'avoir été défini par la NSA en personne. Cependant, comme la plupart des grands comptes mettront encore des mois à se mettre à jour, je vous file une astuce pour continuer d'accéder à leur site avec votre Firefox.