La compañía ha explicado que han elegido OAut porque ofrece una opción de autenticación más segura que el método que utilizaban hasta ahora. Así lo ha matizado el ingeniero de software de la compañía, Ankur Jain. Hasta ahora, los administradores tenían que firmar las llamadas a las APIs de Google Apps con su nombre de usuario y contraseña, lo que suponía un riesgo de seguridad.

Con OAuth, Google Apps pueden proporcionar aplicaciones de terceros con tokens que pueden utilizarse para acceder a las API de diferentes aplicaciones de Google, eliminando la necesidad de proporcionar nombres de acceso y contraseñas para cada llamada a las API. Las API de Google Apps para el aprovisionamiento, la migración de correo electrónico, la configuración de administración, los recursos naturales, la configuración de correo electrónico y de auditoría pueden ahora interactuar entre sí con el mecanismo de firma OAuth.

Google es una más de una serie de empresas proveedoras de servicios Web que han optado por este protocolo de autorización. También lo han hecho nombres como Salesforce.com y Microsoft Azure.

Los servicios Web para consumidores también han adoptado este protocolo. Es el caso de Twitter, que, a principios de este mes ha hecho obligatorio para aplicaciones de terceros el uso de OAuth. También Facebook ha empezado a utilizar la versión 2 de este protocolo.

Google ha estado buscando durante algún tiempo un modo más sencillo para que los desarrolladores Web externos aseguraran sus llamadas a las API. Así lo explicó Eric Sachs, responsable de producto del equipo de seguridad de Google, en una entrevista realizada a principios de este año sobre la versión 2.0 de OAuth. Los modelos de seguridad Web tradicionales como SAML y WS-Security han demostrado ser muy complejos para aquellos que no sean muy duchos en seguridad. Los tokens de OAuth son más sencillos, pues funcionan de forma similar a las cookies de los navegadores, pero para API.