Wie tot ist OAuth 2 wirklich?
Kommentare

Tim Bray hat sich Eran Hammers lauten Abschied vom OAuth-Entwicklerteam mitsamt des Echos näher angeschaut. Er selbst hat viel mit OAuth 2 gearbeitet und beobachtet, dass etliche Google-APIs nur darüber

Tim Bray hat sich Eran Hammers lauten Abschied vom OAuth-Entwicklerteam mitsamt des Echos näher angeschaut. Er selbst hat viel mit OAuth 2 gearbeitet und beobachtet, dass etliche Google-APIs nur darüber authorisiert werden können – mit steigender Tendenz. Von der Anwendung her ist OAuth daher keinesfalls für tot zu erklären.

Mit der Standardisierung sieht es aber tatsächlich so aus, wie Hammer es beschreibt: Der OAuth Code muss für jede einzelne Anwendung komplett neu geschrieben werden. „Es wäre sehr nützlich wenn ich denselben Code verwenden könnte, egal ob ich nun von Gmail aus auf meine Google+-History oder von Facebook auf Farmville zugreifen will.“ Doch Interoperabilität sucht man vergebens. Andererseits sagt Bray, muss man auch eine Kosten-Nutzenrechnung betrachten: Für wen lohnt sich der Aufwand, eine One-Size-Fits-all-Authentifizierung zu erschaffen?

Hinzu kommt die intensive Einmischung der Enterprise-Entwickler, die OAuth 2 an ihre Bedürfnisse anpassen wollen. Bray meint dazu, dass ihre Wünsche sehr verworren sind im Gegensatz zu den übersichtlichen Web-Wünschen: Letztere reduzieren sich meist darauf, dass eine Ressource auf einem Host liegt und über ein HTTP GET abgerufen werden soll. Dieses GET muss allerdings von jemandem stammen, der authentifiziert und autorisiert wurde.

In Firmen hingegen sind die Szenarien teilweise so komplex, dass niemand mehr in der Lage ist, seinen Anwendungsfall wirklich klar zu formulieren. Hinzu kommt, dass sie voller Geheimnisse und Relikte stecken, sodass nur Vollzeitprofis wirklich verstehen, was da vor sich geht. Keine gute Grundlage zur Schaffung einer einheitlichen Spezifikation also.

Bray betrachtet die Internet Engineering Task Force, die sich um die Standardisierung von OAuth 2 bemüht, nicht als ineffektiv, so wie es einige Leute in den Kommentaren zu Eran Hammers Artikel getan haben. Vielmehr sieht er, dass einige Standards nützlich sind, viele ignoriert werden, aber andere Standards auch Schaden anrichten können (wo uns Bray Beispiele schuldig bleibt).

Weitere Kommentare zu Hammers Absage an OAuth 2 findet Ihr auf Reddit. Eran Hammer war einer der Verantwortlichen bei der Weiterentwicklung der Spezifikation für OAuth 2. Vergangene Woche verließ er das Konsortium mit der Begründung, dass er die Web-Interessen nicht mehr gegen die Enterprise-Interessen durchsetzen kann und der Standardisierungsprozess seiner Meinung nach gescheitert sei.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -