Redigerer OAuth

[[File:OpenIDvs.Pseudo-AuthenticationusingOAuth.svg|thumb|OpenID vs. pseudo-autentisering ved Hjelp Av OAuth]]
'''OAuth''' ('''O'''pen '''Auth'''orization<ref name="NIST">{{Kilde www|url=https://csrc.nist.gov/glossary/term/open_authorization|tittel=Open Authorization - Glossary {{!}} CSRC}}</ref><ref name="RFC6749">{{Kilde www|url=https://tools.ietf.org/html/rfc6749|tittel=RFC6749 - The OAuth 2.0 Authorization Framework|besøksdato=10. oktober 2012|arkiv-url=https://web.archive.org/web/20121015184712/http://tools.ietf.org/html/rfc6749|arkivdato=15. oktober 2012|fornavn=Dick|etternavn=Hardt|forlag=[[Internet Engineering Task Force]]}}</ref>) er en [[åpen standard]] for tilgangsdelegering, og er ofte brukt av internettbrukere for å gi nettsteder eller applikasjoner tilgang til deres informasjon på andre nettsteder, men uten å gi fra seg [[passord]],<ref>{{Kilde www|url=http://lifehacker.com/5918086/understanding-oauth-what-happens-when-you-log-into-a-site-with-google-twitter-or-facebook|tittel=Understanding OAuth: What Happens When You Log Into a Site with Google, Twitter, or Facebook|besøksdato=15. mai 2016|arkiv-url=https://web.archive.org/web/20140424052409/http://lifehacker.com/5918086/understanding-oauth-what-happens-when-you-log-into-a-site-with-google-twitter-or-facebook|arkivdato=24. april 2014|fornavn=Gordon|etternavn=Whitson}}</ref> ved å istedet bruke [[tilgangstoken|tilgangspolletter]] (''access tokens'').

OAuth brukes blant annet av selskaper som [[Amazon.com|Amazon]],<ref>{{Kilde www|url=https://login.amazon.com/|tittel=Amazon & OAuth 2.0|besøksdato=15. desember 2017|arkiv-url=https://web.archive.org/web/20171208010412/https://login.amazon.com/|arkivdato=8. desember 2017}}</ref> [[Google]], [[Facebook]], [[Microsoft]], og [[Twitter]] for å gjøre det mulig for brukere å dele informasjon om sine kontoer med tredjeparts-applikasjoner eller -nettsteder.

== Oversikt ==
OAuth gir klienter en "sikker delegert tilgang" til serverressurser på vegne av en ressurseier, og dette skjer gjennom en prosess hvor ressurseieren godkjenner tredjeparters tilgang til serverressursene uten å oppgi [[legitimasjon]]. Standarden er designet for å fungere med [[HTTP|hypertekstoverføringsprotokollen]] (HTTP), og fungerer i hovedsak ved å utstede tilgangspolletter til tredjepartsklienter via en autorisasjonsserver, gitt godkjenning fra ressurseieren. Tredjeparten kan så bruke polletten for å få tilgang til de beskyttede ressursene som er ligger på ressursserveren.<ref name="RFC6749">{{Kilde www|url=https://tools.ietf.org/html/rfc6749|tittel=RFC6749 - The OAuth 2.0 Authorization Framework|besøksdato=10. oktober 2012|arkiv-url=https://web.archive.org/web/20121015184712/http://tools.ietf.org/html/rfc6749|arkivdato=15. oktober 2012|fornavn=Dick|etternavn=Hardt|forlag=[[Internet Engineering Task Force]]}}</ref> OAuth 2.0 har egne autorisasjonsflyter for vevapplikasjoner, skrivebordsprogrammer, mobiltelefoner og [[smartutstyr]].

OAuth er en [[Autorisering|autorisasjonsprotokoll]] og ikke en [[Autentisering|autentiseringsprotokoll]]. Bruk av OAuth som autentiseringsmetode kalles av og til for pseudo-autentisering.{{trenger referanse}}

<gallery>
Without-oauth.png|Autorisasjonsflyt uten OAuth: En hypotetisk autorisasjonsflyt hvor påloggingsinformasjon deles med en tredjepartsapplikasjon. Dette innebærer mange sikkerhetsrisikoer som kan forhindres ved bruk av OAuth-autorisasjonsflyter.
Abstract-flow.png|En høynivå-oversikt over en OAuth 2.0-autorisasjonsflyt: En oversikt over en OAuth 2.0-flyt på høyt nivå. Ressurseierens legitimasjon brukes bare på autorisasjonsserveren, men ikke på klienten (f.eks. tredjepartsapplikasjonen)
</gallery>

== Historie ==
[[Fil:Oauth_logo.svg|høyre|miniatyr|181x181pk|OAuth-logoen, designet av den amerikansk bloggeren [[Christopher Reaves Messina|Chris Messina]]]]
Starten på OAuth kan spores tilbake til 2006 i november da Blaine Cook utviklet [[Twitter]] sin implementasjon av [[OpenID]]. På samme tid trengte nettsiden Mamma.gnolia en løsning som gjorde at brukerne deres kunne bruke OpenID for å autorisere skjermelementer (''widgets''), i [[Dashboard (macOS)|instrumentpanelet]] på datamaskinene deres, slik at disse kunne få tilgang til tjenesten. Blaine Cook, [[Christopher Reaves Messina|Chris Messina]] og Larry Halff fra Magnolia møtte David Recordon for å diskutere bruk av OpenID for delegert godkjenning med Twitter og Magnolia sine [[Programmeringsgrensesnitt|API-er]]. De konkluderte med at det ikke fantes noen åpne standarder for tilgangsdelegasjon med API.<ref>{{Kilde www|url=https://oauth.net/about/introduction/|tittel=Introduction|besøksdato=21. november 2018|arkiv-url=https://web.archive.org/web/20181121204056/https://oauth.net/about/introduction/|arkivdato=21. november 2018}}</ref>

I 2007 april ble det opprettet en OAuth-diskusjonsgruppe for å skrive et forslag til en åpen protokoll. [[DeWitt Clinton|Dewitt Clinton]] fra [[Google]] uttrykte interesse for å bidra. I 2007 juli hadde gruppen laget et utkast. Eran Hammer ble også med, og koordinerte mange av bidragene slik at man fikk en mer formell spesifikasjon. I 2007 desember ble det endelige utkastet til OAuth Core 1.0 utgitt.<ref>{{Kilde www|url=http://oauth.net/core/1.0/|tittel=OAuth Core 1.0|besøksdato=16. oktober 2014|arkiv-url=https://web.archive.org/web/20151125184848/http://oauth.net/core/1.0/|arkivdato=25. november 2015}}</ref>

I 2008 november på det 73. [[Internet Engineering Task Force]] (IETF) -møtet i [[Minneapolis]] ble det avholdt en [[Internet Engineering Task Force|''Birds of a Feather''-økt]] (BoF) for OAuth hvor man diskuterte hvorvidt protokollen skulle tas inn i IETF for videre standardiseringsarbeid. Arrangementet hadde stort oppmøte, og det var bred støtte for å danne en OAuth-arbeidsgruppe innenfor IETF.

I 2010 april ble OAuth 1.0-protokollen publisert som [[Request for comments|RFC]] 5849. Siden 2010 august 31 har alle tredjeparts Twitter-applikasjoner blitt pålagt å bruke OAuth.<ref>{{Kilde www|url=http://www.webpronews.com/twitter-apps-go-oauth-today-2010-08/|tittel=Twitter Apps Go OAuth Today|besøksdato=31. juli 2017|arkiv-url=https://web.archive.org/web/20170731164856/http://www.webpronews.com/twitter-apps-go-oauth-today-2010-08/|arkivdato=31. juli 2017|etternavn=Chris Crum}}</ref>

OAuth 2.0-rammeverket ble publisert med hensyn på ytterligere brukstilfeller og utvidelseskrav hentet inn bredt fra IETF-fellesskapet. Selv om 2.0-rammeverket riktignok er bygget på erfaringer fra OAuth 1.0, så er ikke OAuth 2.0 bakoverkompatibel med OAuth 1.0. OAuth 2.0 ble publisert som <nowiki>RFC 6749</nowiki>, mens bruken av bærepollett (''bearer token'') ble publisert som <nowiki>RFC 6750</nowiki>.

OAuth 2.1 autorisasjonsrammeverket er under utarbeidelse, og skal konsoliderere funksjonaliteten i OAuth 2.0, OAuth 2.0 for [[Mobilapplikasjon|''native-''applikasjoner]], bevisnøkkel for kodeutveksling (PKCE), OAuth 2.0 for nettleserbaserte applikasjoner, OAuth Security-mønsterpraksis og bruk av bærepollett.<ref name=":0">{{Kilde www|url=https://tools.ietf.org/html/draft-ietf-oauth-v2-1-00.html|tittel=The OAuth 2.1 Authorization Framework|besøksdato=2020-11-22|fornavn=Torsten|etternavn=Lodderstedt}}</ref> 

== Referanser ==
<references/>

[[Kategori:IT-relaterte introduksjoner i 2007]]
[[Kategori:Internett-protokoller]]