Le protocole libre OAuth 2.0 est-il un échec ?

L'auteur en chef de sa spécification démissionne et en retire son nom

« J'ai échoué. Nous avons échoué ». C'est avec un tel fatalisme et une telle amertume qu'annonce Eran Hammer sa démission de son poste d'auteur en chef de la spécification OAuth 2.0. Il quitte le groupe de travail du protocole libre d'authentification, et retire son nom de la spécification après avoir travaillé 3 ans sur son élaboration.

Dans son blog, il explique que sa décision n'a pas été facile à prendre : « Enlever mon nom d'un document que j'ai tant bien que mal élaboré pendant trois ans, avec plus d'une vingtaine de drafts, n'était pas simple. Décider de jeter l'éponge à un effort que j'ai conduit pendant plus de cinq ans était agonisant. »

Mais face à la situation régnante, sa décision était imminente : « OAuth 2.0 est un mauvais protocole. Un mauvais WS-*. Il est mauvais au point où je ne veux plus y être impliqué. C'est la plus grande déception professionnelle de ma carrière », reconnaît-il. Avant d'ajouter que tous les compromis qui ont été faits ont eu pour résultat « une spécification qui a échoué à atteindre ses deux principaux objectifs – la sécurité et l’interopérabilité ».

Selon Hammer, le cœur du problème est le conflit incessant entre la culture du Web et celle de l'entreprise. Au début, le groupe de travail de OAuth à l'IETF (Internet Engineering Task Force) était caractérisé par une forte présence [des acteurs] du web. Mais, après la première année, tous les membres de la première spécification ont quitté le groupe. « Le groupe restant était essentiellement composé d'entreprises.... et de moi-même ».

Au-delà des problèmes organisationnels internes, Hammer explique que des changements architecturaux ont introduit des complexités inutiles, pour résoudre des problèmes mineurs. Ce serait par exemple le cas de la révocation des tokens dans la première spécification, remplacée par les tokens illimités.

Il accuse aussi la spécification de manque cruel en détails et en... spécifications. Elle laisse selon lui beaucoup trop de choix aux implémentations avec pour résultat, un manque flagrant d’interopérabilité.

Notons que techniquement parlant, Hammer estime qu'il est préférable de rester sur la version 1.0 pour ceux qui l'utilisent sans encombre. Pour les autres qui se considèrent comme experts en sécurité, une analyse approfondie des fonctionnalités de la 2.0 serait primordiale, à moins d'utiliser une implémentation sûre de la version 2.0 (comme celle de Facebook). « La 2.0 est meilleure pour un déploiement d'une grande infrastructure » - conclut-il.

Source : le blog de Eran Hammer

Et vous ?

Utilisez-vous le protocole OAuth 2.0 ?
Partagez-vous les critiques qu'assène Hammer à sa spécification ?