Google experimentiert mit OAuth 2.0

Während die Spezifikation der Version 2.0 von OAuth der Finalisierung näher rückt, hat der Internetkonzern Google den Zugriff auf seine APIs mit dem neuen Autorisierungsprotokoll bereits umgesetzt. Allerdings hat die Unterstützung für OAuth 2.0 bislang experimentellen Status, auch berücksichtigt sie nicht den aktuellen Stand der Spezifizierung. Google verspricht, dass man mit der OAuth-Implementierung offenbar mit weniger Code mehr Funktionen nutzen kann.

Der Internet-Konzern koppelt seine Implementierung an ein Bearer Token, also ein in der Nachricht enthaltenes Sicherheitstoken, das nicht zum Unterzeichnen eines Nachrichtenteils verwendet wird. Neben der Einführung eines vereinfachten Dialogs stellt Google auch eine Client-Bibliothek für Python-Programmierer zur Verfügung, und andere Bibliotheken sind offenbar in Arbeit. Allerdings lässt sich Googles Umsetzung der Spezifikation auch unabhängig von ihnen verwenden.

OAuth ist ein offener Standard für die Online-Authentifizierung. Zugrunde gelegt wird ein Protokoll, das den Zugriff auf private, beim Service-Provider liegende Ressourcen von Nutzern sicherer machen soll. Bei OAuth nimmt der Service-Provider des Nutzers Anfragen auf den Datenzugriff entgegen und reagiert mit einer Abfrage für die Freigabe beim Nutzer. Sobald der Nutzer die Freigabe der Datenauswahl erlaubt hat, sendet der Provider ein Token an das anfragende Unternehmen. Erst mit diesem Token kann der anfragende Dienstleister auf die freigegebenen Daten zugreifen. Google unterstützt das Protokoll für seine APIs offiziell seit September 2010. (ane)