OAuth (скорочення відангл.Open Authorization) — цевідкритий стандартавторизації, який дозволяє користувачам відкривати доступ до своїх приватних даних (фотографії, відео, списки контактів), що зберігаються на одному сайті, іншому сайту, без необхідності вводу імені користувача та паролю.
OAuth дозволяє користувачам роздавати сайтам маркери доступу, до даних що розміщуються на сайтах-сервісах. Кожен маркер доступу надає доступ конкретному сайту (наприклад, сайту редагування відео) до конкретних ресурсів (наприклад, тільки відео від конкретного альбому) та на визначений термін (наприклад, на наступні 2 години). Це дозволяє користувачам надавати доступ третім сайтам до їх інформації, що зберігається на інших сайтах — постачальниках послуг, не передаючи повною мірою самих даних та без застосування імені/паролю.
OAuth доповнює, проте, за своїм призначенням, відрізняється відOpenID.
OAuth з'явився в листопаді 2006 року, під час розробки Блейном Куком (англ.Blaine Cook) протоколу OpenID для сервісу мікроблогівTwitter. Спільно з Крісом Мессіною (англ.Chris Messina) він шукав спосіб використанняOpenID для доступу до Twitter API без надання сервісу пароля. У співпраці з одним з творців OpenID Девідом Рекордоном (англ.David Recordon) вони провели аналіз функціональності OpenID, а також власницьких протоколів авторизації, таких як Flickr Auth, Google AuthSub і Yahoo! BBAuth, після чого прийшли до висновку, що існує необхідність у новому відкритому протоколі.
У квітні 2007 року утворилася група інженерів, що працювали над його створенням. В її роботі взяли участь співробітники компанійGoogle іAOL (яка в цей же час представила свій власний протокол OpenAuth). Фінальна версія ядра протоколу OAuth 1.0 була представлена 4 грудня 2007 року. У 2008 році проводилась робота зі стандартизації протоколу в Інженерній раді Інтернету.
15 квітня 2009 року Twitter запропонував своїм користувачам рішення, що дозволяє делегувати стороннім сайтам і сервісам доступ до своїх акаунтів. Воно було названо «Увійти через Твіттер» і було засноване на OAuth. Ця подія стала приводом для першого широкого дослідження протоколу на вразливість, і через кілька днів була виявлена потенційна вразливість, яка зачіпає всі існуючі реалізації OAuth. Після цього, 23 квітня спільнотою розробників було випущено перший додаток безпеки до протоколу, який увійшов у оновлену специфікацію OAuth Core 1.0 Revision A, яка опублікована 24 червня. У квітні 2010 року був випущений інформаційний документRFC 5849, присвячений стандарту OAuth,
OAuth 2.0 — наступне покоління протоколу OAuth, зворотно не сумісне з OAuth 1.0. OAuth 2.0 фокусується на простоті розробки клієнтської частини, забезпечуючи спеціальні потоки дозволу длявебзастосунків, настільнихзастосунків,мобільних телефонів. Специфікація розробляється в рамках робочої групиIETF OAuth[1].
Нове Graph API відFacebook підтримує тільки OAuth 2.0 і є найбільшою реалізацією нового стандарту[2]. З 2011 року Google додав експериментальну підтримку OAuth 2.0 в своє API[3].
 | Це незавершена стаття зінформаційної безпеки. Ви можетедопомогти проєкту,виправивши або дописавши її. |
| API для автентифікації | |
|---|---|
| Протоколи автентифікації[en] | |
| Програми | |
| Див. також | |
