Názor k článku Device Authorization Grant: přihlášení bez rozumného uživatelského vstupu od Filip Jirsák - To je ovšem velmi naivní přístup, který předpokládá,...

To je ovšem velmi naivní přístup, který předpokládá, že uživatel je vševědoucí.

Když si chcete jakéhokoli myslitelného klienta připojit ke GMailu, ani vás zjevně při psaní komentáře nenapadlo, že stejné přihlašovací údaje, jaké máte pro GMail, máte i pro všechny ostatní služby Googlu. A co teprve uživatelé, kteří o nějakých aplikacích a autorizaci nevědí vůbec nic. Takže Google logicky chce poskytnout uživatelům dobré služby, takže jim například při přihlašování umožnit určit, k čemu aplikaci přístup dají (k e-mailů) a k čemu ne (ke všemu ostatnímu) – k tomu slouží OAuth. No a také je dobré vědět, komu ten přístup uživatel vlastně uděluje – a k tomu je potřeba tu aplikaci registrovat. Mimo jiné to slouží i k dalšímu zabezpečení, protože kdyby ta aplikace zacházela se získanými přístupovými údaji lehkovážně, není jednoduché je vzít a použít je v jiné aplikaci.