Cierre de OAuth 1.0a y HTTP Basic Auth en OpenStreetMap.org

En 2024, el Grupo de Trabajo de Operaciones (OWG) de la OSMF retirará OAuth 1.0a y HTTP Basic Auth en OpenStreetMap.org. Estas son formas técnicas para que las aplicaciones autentiquen a los usuarios con el sitio web o API de OSM. OAuth 1.0a y HTTP Basic Auth han quedado obsoletos desde 2023, ya que OAuth 2.0 es ahora el método de autorización estándar para la mayoría de los sistemas.

Hay tres fechas clave en el proceso de transición:

  • 1 de marzo de 2024: Se deshabilitaron los nuevos registros de aplicaciones OAuth 1.0a. Las aplicaciones existentes no se vieron afectadas. HTTP Basic Auth no se vio afectado.
  • 1 de mayo de 2024: los administradores del sistema iniciarán caídas de tensión para encontrar aplicaciones que todavía usan OAuth 1.0a o HTTP Basic Auth.
  • 1 de junio de 2024: OAuth 1.0a y HTTP Basic Auth se cerrarán.

Es necesario retirar estos métodos de autenticación debido a motivos de seguridad y a la complejidad de mantener tantas implementaciones de autorización, incluidas aquellas que dependen de componentes no mantenidos.

¿Cómo me afecta esto como desarrollador?

Si eres desarrollador de una aplicación que utiliza OAuth 1.0a o HTTP Basic Auth para iniciar sesión en el sitio web OpenStreetMap.org, es posible que debas realizar algunos cambios para migrar a OAuth 2.0. Afortunadamente, este es un estándar industrial bien respaldado.

Si su aplicación solo realiza llamadas de lectura a la API, la autorización es opcional. Para fines de limitación de tráfico, sigue siendo una buena idea agregar autorización a sus solicitudes, pero no es obligatorio. Si su aplicación es un sitio web que utiliza OSM para iniciar sesión, utilizar OAuth 2.0 es mucho más fácil, pues tiene un soporte mucho mejor debido a que muchos otros sitios lo usan. También evita problemas como que los usuarios terminen con muchos tokens en su lista en el sitio web.

Si estás desarrollando software que edita mediante la API y se ejecuta localmente, es posible que debas realizar cambios en el código. Todos los lenguajes comunes tienen bibliotecas que manejan OAuth 2 y las bibliotecas son la opción preferida para cualquier autorización. También puedes usar la biblioteca de Zverik para herramientas de línea de comandos, o escribir tu propio shell script de aproximadamente una docena de líneas.

Deberías poder encontrar muchos ejemplos en línea de implementaciones de clientes OAuth 2 en tu idioma. Si deseas obtener información más detallada o hacer preguntas técnicas, utilice el ticket de GitHub. Aquí, el OWG también rastrea las aplicaciones que requieren modificaciones para usar OAuth 2.0.

¿Cómo me afecta esto como mapeador?

La mayoría de mapeadores no notarán ningún cambio. La transición no afectará la forma en que inicias sesión en tu cuenta OSM ni en la que utilizas el sitio web. iD y JOSM han admitido OAuth 2.0 como método de autenticación predeterminado desde hace algún tiempo. Si utilizas tu cuenta OSM para iniciar sesión en un sitio de terceros como HOT Tasking Manager, MapRoulette o HDYC, no te verás afectado porque esos sitios ya se han migrado a OAuth 2.0. El acceso a la API en modo solo lectura no requiere autorización alguna.


La Fundación OpenStreetMap es una organización sin fines de lucro, formada para apoyar el Proyecto OpenStreetMap. Se dedica a fomentar el crecimiento, desarrollo y distribución de datos geoespaciales gratuitos para que cualquiera pueda usarlos y compartirlos. La Fundación OpenStreetMap posee y mantiene la infraestructura del proyecto OpenStreetMap, está financiada por cuotas de membresía y donaciones, y organiza la conferencia anual internacional State of the Map. Nuestros grupos de trabajo voluntarios y nuestro pequeño personal central trabajan para apoyar el proyecto OpenStreetMap. Únete a la Fundación OpenStreetMap por solo £ 15 al año o gratis si eres un colaborador activo de OpenStreetMap.

This post is also available in: Inglés Francés Griego Árabe