Scriptorama.nl

Een van de dingen die veel social websites, zoals Twitter, Hyves en Facebook doen is je de mogelijkheid geven om in hun database naar jouw vrienden te zoeken aan de hand van bijvoorbeeld hun e-mailadres. Daar is echter een probleempje mee, ze vragen vaak om je (gmail, live.com, yahoo) email wachtwoord.

Jeff Atwoord van CodingHorror schreef hier al eerder een mooi stuk over: Please give me your Email password:

I'm willing to give Yelp the benefit of the doubt here, but let's think about what it means to give out your email account and password to anyone, no matter how ostensibly trustworthy they may be:

1. Number one with a bullet: your email account is a de-facto master password for your online identity. [ ... ]
2. If you're anything like me, your email is a treasure trove of highly sensitive financial and personal information. [ ... ]
3. Even if I trust Yelp absolutely, how do I know they're not going to store my email password, perhaps insecurely, in a place some disgruntled programmer or hacker can eventually get to it? [ ... ]

3 punten waar hij wat mij betreft helemaal gelijk in heeft. Dus, nee dank je, ik zoek zelf m'n vrienden wel op je website. Toch bedankt!

Toen ik met Twitter begon had ik al eens bij mezelf gedacht dat het raar was dat bijvoorbeeld Google met GMail niet toegang tot alleen het adresboek gaf, zonder daarvoor je wachtwoord aan een derde partij te moeten geven. Ik was me toen nog niet bewust van het feit dat er al een standaard voor bedacht was: OAuth.

OAuth definieert een manier om een website / service toegang te geven tot (een deel van jouw) gegevens binnen een andere website, zonder dat je daar je gebruikersnaam en wachtwoord voor hoeft op te geven. Oftewel, het wordt dan mogelijk om Twitter toegang te geven tot bijvoorbeeld mijn adresboek gegevens van GMail zonder Twitter mijn GMail wachtwoord te geven.

OAuth valt en staat natuurlijk met implementaties en het is dan ook goed nieuws te noemen dat Google vorige week heeft aangekondigd dat al haar Google Data services (waaronder de Google Data Contacts API :) ) via OAuth benaderbaar zijn. Yahoo heeft eerder al aangegeven interesse te hebben in OAuth - al hebben ze het zover ik kan zien nog niet geimplementeerd.

Met dit nieuws valt samen dat een ontwikkelaar genaamd Pádraic Brady recentelijk bezig is gegaan met een OAuth consumer implementatie voor PHP voor gebruik met zowel PEAR als Zend Framework. Testversies kun je downloaden vanaf zijn subversion repository.