Now Reading
L’authentification OAuth sur Twitter
0

L’authentification OAuth sur Twitter

by Arnaud Meunier16 juin 2010

Vous avez très certainement déjà entendu parler de OAuth, ce protocole permettant l’authentification sécurisée à une API, et pour cause : le dit protocole sera bientôt le seul moyen d’authentification disponible pour l’API Twitter. Un compte à rebours à même été lancé il y a plusieurs semaines de ça pour l’occasion. Mais pour celles et ceux qui ne sont pas initiés à la programmation, il n’est pas forcément évident de percevoir les implications et les avantages d’un tel changement. Le mieux est peut-être de commencer par un petit historique…

Aux débuts de l’API Twitter, les applications tierces ayant besoin d’accéder à des ressources protégées (i.e. votre timeline, poster un Tweet…) avaient à leur seule disposition l’authentification l’HTTP Basic. Le concept est simple : utiliser votre login et votre mot de passe Twitter. De par sa simplicité d’implémentation, ce système a favorisé l’émergence d’une grande quantité d’applications et de services Twitter : des clients, des services de partage de photos, etc… Qu’on a tous utilisés, et qu’on continue à utiliser aujourd’hui.

Seulement voilà, l’authentification HTTP Basic présente de nombreux inconvénients. Le premier – et le plus évident – c’est que les applications utilisées par ce biais prennent connaissance de votre identifiant et de votre mot de passe. Un développeur peu scrupuleux n’aura donc aucun mal à vous « voler » votre compte, ça s’est déjà vu à plusieurs reprises. Et on imagine facilement les conséquences potentiellement désastreuses pour ceux qui utiliseraient le même mot de passe sur d’autres services…

De la même manière, si il vous prend l’idée de changer votre identifiant ou votre mot de passe Twitter, l’application ne pourra plus fonctionner tant que vous ne lui aurez pas indiqué le changement. Enfin, et c’est un autre point très gênant, vous n’avez aucun moyen automatisé pour lister les applications qui ont accès à votre compte en lecture et/ou en écriture.

C’est pour toutes ces raisons – et bien d’autres encore – que Twitter a adopté le protocole d’authentification OAuth l’année dernière. Avec ce dernier, et à la différence de l’HTTP Basic, aucun login ou mot de passe ne vous est demandé lors de l’authentification. Les amateurs de technique trouveront tous les détails sur le processus et le fonctionnement d’OAuth sur cette page du portail de développement Twitter.

Pour les autres, et pour faire simple: C’est directement depuis Twitter que vous accordez des droits (ou les révoquez) pour la ou les applications que vous utilisez. Ainsi, et à tout moment, il est possible de gérer ces droits depuis votre compte : http://twitter.com/settings/connections

De son côté, Twitter peut analyser beaucoup plus facilement le comportement des applications utilisant OAuth, ce qui permet d’écarter rapidement les applications à problèmes.

Longtemps annoncée, l’utilisation d’OAuth deviendra enfin obligatoire le 30 Juin, l’HTTP Basic disparaissant par la même occasion. C’est une excellente nouvelle pour les utilisateurs ! Côté développeurs, il faut reconnaître que l’implémentation est plus complexe, ce qui explique en partie le temps de transition.

De nombreuses applications (notamment des client Twitter) utilisent toujours l’HTTP Basic et n’ont pas encore migré vers OAuth. Comme… L’application officielle Twitter for iPhone, par exemple ! Il leur reste deux semaines :)

Edit (18 juin) : Twitter vient de reporter la date du passage obligatoire à OAuth au 16 Aout. Cf cette annonce pour plus d’infos.

Related Posts Plugin for WordPress, Blogger...
About The Author
Arnaud Meunier
Web Entrepreneur, Consultant, et créateur de Twitoaster (http://twitoaster.com). Compte Twitter: @twitoaster