Lo standard per «Login con X». Flussi, token, PKCE — e dove un Auth fatto in casa diventa pericoloso.
Categoria · Sicurezza & Compliance
Lo standard dietro il "Login con X".
OAuth 2.0 è un protocollo di autorizzazione: regola come un'applicazione possa accedere a un'altra in nome di un utente, senza conoscerne la password. OpenID Connect (OIDC) vi si appoggia e aggiunge l'autenticazione — ovvero la domanda su chi sia effettivamente l'utente.
Al centro ci sono i flow che scambiano token. Per le app web e mobili, oggi lo standard è l'Authorization Code Flow con PKCE, perché funziona anche senza un client secret custodito in modo sicuro.
Quando ci affidiamo a esso.
Ovunque gli utenti accedano tramite identità esistenti o un prodotto debba accedere a sistemi di terze parti — Microsoft Entra, Google, GitHub. Invece di gestire noi stessi le password, ci appoggiamo a identity provider consolidati.
Questo riduce sensibilmente la superficie di attacco e lo sforzo: gestione delle sessioni, MFA e reset delle password ricadono sul provider, che lo fa come attività principale.
Dove l'auth fatto in casa diventa pericoloso.
OAuth è sottile. Redirect URI configurati male, PKCE mancante o token validati in modo impreciso aprono falle reali. L'auth fai-da-te di solito non fallisce sul login, ma sui casi limite — rinnovo del token, logout, revoca.
La nostra regola: usare librerie e provider consolidati, non reinventare il protocollo.
