Ya se ha publicado un borrador con la nueva versión del protocolo OAuth: OAuth 2.0.
Esta nueva versión se basa en lo que ya se definía en el protocolo, pero añadiendo nuevos perfiles y flujos de autorización, basados en OAuth WRAP, específicos para aplicaciones web, de escritorio, teléfonos móviles e incluso aplicables a dispositivos como los sistemas multimedia para el salón.
Los nuevos flujos y perfiles desarrollados se dividen en tres tipos:
- Flujos de Delegación de Usuario (User Delegation Flows):
Definen el protocolo de autorización para clientes que actúan en nombre de un usuario final. Hay distintos perfiles, dependiendo de la plataforma en la que se desarrollen: dispositivos externos, servidores web o programas de usuarios (navegadores web, etc.). - Flujos de Usuarios Finales (End-User Credentials Flows):
Se utiliza para clientes que actúan en nombre de los usuarios, pero permiten a la aplicación cliente tener acceso directo a las credenciales del usuario final, evitando el paso intermedio de pedir autorización al usuario directamente.
Estos tipos de flujos requieren una relación de confianza mayor entre el cliente y los usuarios. - Flujos autónomos (Autonomous Flows):
Flujos que permiten al cliente actuar en su propio nombre mediante sus propias credenciales o una aserción que será capaz de leer el servidor de autorización y comprobar si es válida o no.
Cuando facebook empezó a sonar dentro una pequeña comunidad, en aquellos entonces únicamente estaba en inglés, varios conocidos me enviaron una solicitud para que me apuntara a eso nuevo del facebook a mi cuenta de correo entonces@cuenta
La semana pasada recuperé la citada cuenta de correo y pensé en crearme una cuenta en facebook asociada a ésta.
Para mi sorpresa, ya tenía en mi perfil todo preparado para poder confirmar la relación de amistad con todas aquellas personas que habían solicitado ser mis «amigos» hace años. Por lo tanto:
1. Facebook tiene guardada toda dirección de correo a la que cualquier persona haya enviado una solicitud a través de Buscar a una persona
2. Facebook trata cuentas de correo de personas que no han solicitado el alta en la red social
Entro en Configuración de privacidad – Información de contacto e indico
que mi dirección de correo entonces@cuenta sólo la puedo ver yo.
Para mi confirmación, facebook me indica: Sólo yo puedo ver este contenido.
Verifico que en mi perfil no aparece la dirección de correo electrónico.
Después, realizo unas cuantas búsquedas. El facebook está para cotillear, no? 
Y igual que te buscas en Google, en facebook no vas a ser diferente. Término de búsqueda: entonces@cuenta. Recuerdo mi acción previa: indicar que la dirección de correo sólo sea visible para mi.
Y facebook encuentra un perfil que responde a esos términos de búsqueda, imagináis cual?
3. Facebook no respeta el nivel de privacidad indicado por el usuario
No todos tenemos el mismo concepto de «visibilidad» que facebook.