OAuth spiegato al mio commercialista

In questio giorni m’è capitato sott’occhio OAuth, un sistema di autorizzazione cross-site. Con OAuth posso autorizzare un sito terzo o un’applicazione ad accedere ai miei dati di facebook o yahoo senza dargli le mie credenziali.

Ecco una user-story tipica:

  1. voglio aggiungere a twitter tutti i contatti che ho su gmail;
  2. twitter deve quindi accedere ai miei dati su gmail;
  3. non voglio però dare a mr.  twitter la mia password

Il meccanismo a ticket implementato da OAuth è abbastanza complesso, ma proviamo a spiegarlo con un paragone concreto: il rapporto tra un cliente, un commercialista ed il fisco.

La story è buffa: il cliente chiede al commercialista di fare delle operazioni col fisco per suo conto, ma non vuole fornire al commercialista la sua smart-card.

Mappiamo così gli attori della nostra story

  • user: cittadino
  • consumer: commercialista
  • provider: fisco

Ed ecco il flusso

  1. il commercialista va’ dal fisco e ottiene un’autorizzazione ad esercitare (corrispondente alla registrazione dell’applicazione sul sito del provider: secret,key);
  2. il cliente va’ dal commercialista e richiede una prestazione;
  3. il commercialista invia al fisco la sua autorizzazione e il suo indirizzo: “Sono il commercialista x, posso operare?”;
  4. il fisco valida l’autorizzazione e l’indirizzo. quindi contatta il cittadino (il commercialista x vuole operare sui tuoi dati, è ok?);
  5. il cittadino si autentica presso il fisco e autorizza (ok, può operare);
  6. il fisco quindi indirizza il cittadino dal commercialista con un’apposita autorizzazione;
  7. il cittadino consegna l’autorizzazione al commercialista;
  8. ogni volta che vuole operare, il commercialista mostra l’autorizzazione al fisco: in base al codice contenuto nell’autorizzazione, il fisco individua i dati del cittadino;
  9. il cittadino quando lo desidera, revocherà l’autorizzazione contattando direttamente il fisco;
  10. se il cittadino volesse operare nuovamente tramite il commercialista, ritorna al punto 2 e innescherà il flusso per una nuova autorizzazione.

Il flusso informatico invece, lo trovate qui:

July 08 2010 11:47 am | Sviluppo| 2,249 views

3 Responses to “OAuth spiegato al mio commercialista”

  1. Roberto Polli on 13 Sep 2010 at 5:20 pm #

    http://arstechnica.com/security/guides/2010/09/twitter-a-case-study-on-how-to-do-oauth-wrong.ars

  2. flux on 07 Oct 2010 at 8:15 pm #

    tu sei un fenomeno!

  3. Roberto Polli on 08 Oct 2010 at 10:15 am #

    @flux: ma che fenomeno 😉 un po’ fantasioso…cmq grazie, spero l’articolo ti sia stato utile.

Trackback URI | Comments RSS

Leave a Reply