Simple Entrepreneur

Derrière cet acronyme horrible se cache en fait un tout nouveau standard libre dont le but est de proposer un protocole sécurisé d’authentification et d’accès à une API. Pour rappel, une API (pour Application Programming Interface en anglais) est une interface de programmation qui permet de définir la manière dont un composant informatique ou un site Internet peut communiquer avec un autre.

Plus concrètement, de nombreux sites comme Flickr, Delicious ou encore Google Maps proposent aujourd’hui tout le nécessaire pour développer des programmes ou des sites qui vont accéder à leurs services et utiliser leurs données. De cette manière, il est ainsi possible d’afficher sur son blog les dernières photos stockées sur Flickr ou les liens que l’on vient juste de rajouter dans Delicious.

Une API permet donc en quelque sorte de commander à distance un site et de manipuler ses données (que ce soit les siennes ou celles partagées par d’autres utilisateurs). Il est même possible de combiner ainsi les fonctionnalités et le contenu de plusieurs applications différentes : on parle alors dans ce cas de mashups (c’est-à-dire d’applications composites).

Et OAuth est là pour sécuriser tous ces échanges.

De plus en plus de possibilités…

Il existe aujourd’hui de plus en plus de sites qui mettent à disposition une API et qui permettent à leurs utilisateurs de ne pas avoir à se rendre sur le site lui-même pour effectuer une tâche précise, comme par exemple pour :

• Sauvegarder un lien (Ma.gnolia)
• Identifier si un commentaire de blog est un spam (Askimet)
• Consulter un rendez-vous de son calendrier (30 Boxes)
• Stocker des données à distance (Box.net)
• Partager une vidéo (YouTube)

Et la liste de services est encore longue.

Un problème de sécurité qui reste entier

Mais comment faire confiance à une application tierce ? Par exemple, j’utilise sur ce blog une extension du nom de Wordpress Reports qui me permet de consulter directement au sein de l’interface d’administration les statistiques de fréquentation relevées par Google Analytics. Pour rappel, Google Analytics est un service gratuit qui fournit différentes informations sur le trafic d’un site Internet (comme par exemple le nombre de visiteurs ou un classement des pages les plus consultées).

Lorsqu’on se connecte sur le site de Google Analytics, il faut bien évidemment fournir l’identifiant et le mot de passe que l’on a choisi lors de son inscription pour accéder à ses statistiques. De la même manière, Wordpress Reports va avoir besoin de ces informations pour interagir à distance avec le service de Google. Il faut donc les préciser dans la page de configuration de ce plugin.

Mais comment être sûr que ces informations confidentielles ne vont pas être utilisées à mon insu ? Normalement, le plugin ne fait que les transmettre à Google Analytics pour s’identifier. Mais son concepteur pourrait très bien les récupérer pour en tirer profit ensuite. Dans le cas de statistiques, ce n’est pas très grave. Mais que se passerait-il dans le cas où l’on gère son portefeuille clients en ligne (avec toutes leurs coordonnées) ?

C’est à cette problématique que tente de répondre OAuth :

The OAuth protocol enables websites or applications (Consumers) to access Protected Resources from a web service (Service Provider) via an API, without requiring Users to disclose their Service Provider credentials to the Consumers. More generally, OAuth creates a freely-implementable and generic methodology for API authentication.

Voici d’ailleurs une courte présentation pour tenter de mieux comprendre ce que propose OAuth :

Pour conclure

La première version de la spécification est disponible depuis le 4 décembre dernier. Je n’en ai pas eu le temps dans cet article, mais je reviendrai par la suite plus en détail sur le protocole lui-même et son mode de fonctionnement. OAuth est une technologie qui va je l’espère se démocratiser dans les années à venir et qui est un très bon complément à OpenId (qui permet de n’utiliser qu’un seul identifiant et mot de passe pour se connecter à plusieurs sites).

A lire également

Vous pouvez continuer votre lecture sur des sujets similaires en consultant les articles suivants :

• 10 startups dans lesquelles j'investirais...
• 5 gestionnaires de bugs très web 2.0

Les visiteurs qui ont vu cette page ont consulté ensuite :

• Quelles technologies utiliser pour développer un site web 2.0 ? (20 lectures)
• 365 Idées, le générateur de projets web 2.0 (18 lectures)
• 7 autres startups dans lesquelles j’aurais aimé investir (15 lectures)

A savoir

La rédaction de cet article a nécessité 1 heure et 47 minutes. Si vous le souhaitez, vous pouvez être prévenu de la parution de nouveaux articles en vous abonnant par RSS ou par email.