Gli attori coinvolti sono 3:

Consumer: L’applicazione che richiede le informazioni Service Provider: Il servizio web che fornisce il sistema di autenticazione e le informazioni (ad esempio Facebook o Twitter) User: L’utente dell’applicazione iscritto sulla piattaforma del ServiceProvider

Per poter usufruire del servizio predisposto dal Service Provider, è necessario che il Consumer registri la sua applicazione. Con quest’operazione, il Service Provider fornisce al consumer le chiavi segrete che verranno utilizzate per lo scambio dei dati: Consumer Key - Consumer Secret

I principali step della comunicazione Consumer – Service Provider, sono i seguenti:

Il Consumer redirige l’utente ad un URL predisposto dal Service Provider per la fase di autenticazione. Nella richiesta HTTP sono presenti le due chiavi ricevute in fase di registrazione (Consumer Key e Consumer Secret) e un’URL al quale l’utente deve essere rediretto al termine dell’operazione.

L’utente accede alla pagina di autenticazione predisposta dal Service Provider dove inserisce le proprie credenziali di accesso, di solito username e password. Il Service Provider verifica l’identità dell’utente. Se la verifica ha esito positivo, gli presenta il tipo di richiesta avanzata dal Consumer che l’utente deve approvare. Tale richiesta riguarda, di solito, la durata dell’accesso e la tipologia di informazioni che verranno rese disponibili al Consumer. Il Service Provider redirige l’utente all’URL inviata precedentemente dal Consumer. Nella richiesta HTTP è presente una stringa (detta token) che deve essere utilizzata successivamente dal Consumer per richiedere eventuali informazioni al Service Provider. L’utente accede nuovamente alla pagina del Consumer.

Il Consumer invia una HTTP al Service Provider nella quale richiede, ad esempio, i dati anagrafici dell’utente corrente. Nella richiesta deve anche fornire il token precedentemente ricevuto. Le informazioni disponibili, dipendono dal Service Provider. Facebook, ad esempio, espone i dati anagrafici dell’utente oppure i suoi ultimi messaggi in bacheca; LinkedIn espone i collegamenti di un utente oppure le sue iscrizioni ai gruppi; Google fornisce moltissime informazioni come ad esempio l’elenco dei contatti in rubrica.