Supongamos que dirijo un club de libros y cada uno de los miembros inicia sesión en mi sitio web con un token OAuth de Google, Twitter, Live o LinkedIn.
Cuando el club de lectura se vuelve popular, descubrimos que las aplicaciones de terceros quieren leer datos de nuestra base de datos. Almacenamos cosas como: la lista de libros que cada persona ha leído, la cola y lo que pensaron de cada libro. Los terceros (Amazon, Barnes and Noble, etc.) quieren leer esos datos, en el contexto del usuario que ha iniciado sesión.
Pregunta
- ¿Cómo debo diseñar el esquema de inicio de sesión de OAuth para mi sitio web?
- ¿Puedo confiar en terceros? (Google, Twitter, ¿alguien más?)
-
Una vez que haya iniciado sesión, ¿cómo puedo compartir un subconjunto de mis datos con aplicaciones de terceros?
-
¿La única manera de lograr esto es si IDP (Google o Yahoo) agrega soporte para esto (por ejemplo, en OAuth 3)?