Redigerer OAuth (avsnitt)

== Oversikt ==
OAuth gir klienter en "sikker delegert tilgang" til serverressurser på vegne av en ressurseier, og dette skjer gjennom en prosess hvor ressurseieren godkjenner tredjeparters tilgang til serverressursene uten å oppgi [[legitimasjon]]. Standarden er designet for å fungere med [[HTTP|hypertekstoverføringsprotokollen]] (HTTP), og fungerer i hovedsak ved å utstede tilgangspolletter til tredjepartsklienter via en autorisasjonsserver, gitt godkjenning fra ressurseieren. Tredjeparten kan så bruke polletten for å få tilgang til de beskyttede ressursene som er ligger på ressursserveren.<ref name="RFC6749">{{Kilde www|url=https://tools.ietf.org/html/rfc6749|tittel=RFC6749 - The OAuth 2.0 Authorization Framework|besøksdato=10. oktober 2012|arkiv-url=https://web.archive.org/web/20121015184712/http://tools.ietf.org/html/rfc6749|arkivdato=15. oktober 2012|fornavn=Dick|etternavn=Hardt|forlag=[[Internet Engineering Task Force]]}}</ref> OAuth 2.0 har egne autorisasjonsflyter for vevapplikasjoner, skrivebordsprogrammer, mobiltelefoner og [[smartutstyr]].

OAuth er en [[Autorisering|autorisasjonsprotokoll]] og ikke en [[Autentisering|autentiseringsprotokoll]]. Bruk av OAuth som autentiseringsmetode kalles av og til for pseudo-autentisering.{{trenger referanse}}

<gallery>
Without-oauth.png|Autorisasjonsflyt uten OAuth: En hypotetisk autorisasjonsflyt hvor påloggingsinformasjon deles med en tredjepartsapplikasjon. Dette innebærer mange sikkerhetsrisikoer som kan forhindres ved bruk av OAuth-autorisasjonsflyter.
Abstract-flow.png|En høynivå-oversikt over en OAuth 2.0-autorisasjonsflyt: En oversikt over en OAuth 2.0-flyt på høyt nivå. Ressurseierens legitimasjon brukes bare på autorisasjonsserveren, men ikke på klienten (f.eks. tredjepartsapplikasjonen)
</gallery>