La scorsa settimana abbiamo parlato di cos’è il protocollo OAuth 2.0, come funziona e quali sono le sue caratteristiche principali.
Oggi è Fabio Coppola, Responsabile Sviluppo Software del nostro Team, che ci spiega come implementare una classe client affinché le nostre applicazioni possano effettuare il login con uno dei servizi che supportano OAuth, come Facebook, Flickr, Google e molti altri.

1) Registriamo la nostra applicazione alle API

Iniziamo con la registrazione dell’app alle API del provider scelto (qui i link di riferimento per Google API e Facebook App Dashboard), ed otteniamo le nostre credenziali, tra cui:

• client_id: l’equivalente del nostro username
• client_secret: la nostra password
• redirect_uri: impostato da noi, è l’URI a cui verrà reindirizzato l’utente dopo aver concesso l’autorizzazione alla nostra applicazione

2) Richiediamo l’autorizzazione all’authorization server

Ogni resource server specifica per quali dati è possibile richiedere l’accesso, attraverso l’utilizzo del parametro “scope”.
Il primo passo da compiere è la richiesta di autorizzazione, quindi reindirizziamo l’utente verso l’authorization server con i seguenti parametri sulla query string:

• response_type=code (obbligatorio)
• client_id (obbligatorio)
• redirect_uri (opzionale): l’indirizzo a cui verrà inviata la risposta
• scope (opzionale): per specificare i dati di interesse
• state (raccomandato): un parametro che sarà presente inalterato nella risposta che ci permette di verificare l’autenticità della stessa

Effettuata la richiesta possiamo ricevere una risposta di errore oppure il codice di autorizzazione.
Analizziamo prima la risposta di errore:

• error (obbligatorio), una stringa che specifica il tipo di errore
• error_description (opzionale), descrizione dell’errore in forma estesa
• error_uri (opzionale), indirizzo di una pagina contenente informazioni addizionali per aiutare lo sviluppatore

Le specifiche impongono che questi parametri vengano definiti nel corpo della risposta HTTP e in formato JSON, ma alcuni provider usano la query component della redirect URI.

Nel caso in cui otteniamo l’autorizzazione, invece, avremo la seguente risposta con parametri sulla query component:

• code (obbligatorio), il codice di autorizzazione, utilizzabile una sola volta
• state (obbligatorio se presente nella richiesta), lo stesso valore della richiesta

3) Formuliamo la richiesta POST per ottenere un token

Ottenuto il codice di autorizzazione, lo utilizzeremo per richiedere un token, attraverso una richiesta POST con i seguenti parametri:

• client_id (obbligatorio)
• code (obbligatorio): quello ottenuto prima
• grant_type=authorization_code (obbligatorio): specifichiamo il metodo utilizzato per richiedere l’access token
• client_secret (opzionale)
• redirect_uri (opzionale)

Se la nostra richiesta va a buon fine otteniamo un access token e alcuni suoi dati opzionali.
Anche in questo caso, le specifiche indicano come formato di risposta un oggetto JSON ma qualche provider utilizza la query component.

4) Ultimo e tanto atteso passaggio, l’accesso alla risorsa

Effettuiamo una chiamata POST verso il resource server, settiamo l’header HTTP “Authorization: Bearer” concatenandogli l’access token, ottenendo infine una risposta con i dati richiesti in formato JSON.

Dobbiamo ricordarci che alcuni provider utilizzano dei parametri aggiuntivi nei vari passaggi. Ad esempio Google, nella richiesta per il codice di autorizzazione, richiede l’uso dei parametri:

• access_type (default online), uno tra “online” o “offline”
• approval_prompt (default auto), uno tra “auto” o “force”

Facebook e Google login, due esempi diretti

Vediamo ora due esempi pratici, uno riguardante Facebook e l’altro Google, i veri punti di riferimento per chi vive la Rete.

• Facebook e un esempio di utilizzo, assumendo che la redirect_uri punti sempre a questa funzione:

function login() {
	require_once ‘OAuth2.php’;

	$oauth = new OAuth2();
	$oauth->setClientId(‘---your-client-id---’)
		->setClientSecret(‘---your-client-secret---’)
		->setRedirectUri(‘---this-same-function--’)
		->setScope(‘email’)
		->setAccessUrl(‘https://graph.facebook.com/me’)
		->setAuthUrl(‘https://www.facebook.com/dialog/oauth’)
		->setTokenUrl(‘https://graph.facebook.com/oauth/access_token’);

	if ($errors = $oauth->handleErrorResponse()) {
		echo ‘Error’;
		return;
	}

	try {
		$userData = $oauth->authenticate();
		print_r($userData);
		}
	catch (Exception $e) {
		echo $e->getMessage();
	}

}

• Altro esempio di utilizzo per Google, attraverso un array di configurazione oppure un oggetto Zend_Config per chi utilizza Zend Framework, assumendo che la redirect_uri punti sempre a questa funzione:

function login() {
    $config = array(
    ‘client_id’ => ‘---your-client-id---’,
    ‘client_secret’ => ‘---your-client-secret---’,
    ‘redirect_uri’ => ‘---this-same-function---’,
    ‘scope’ => ‘https://www.googleapis.com/auth/userinfo.profile https://www.googleapis.com/auth/userinfo.email’,
    ‘access_url’ => ‘https://www.googleapis.com/oauth2/v1/userinfo’,
    ‘auth_url’ => ‘https://accounts.google.com/o/oauth2/auth’,
    ‘token_url’ => ‘https://accounts.google.com/o/oauth2/token’
);
require_once ‘OAuth2Google.php’;

$oauth = new OAuth2Google($config);

if ($errors = $oauth->handleErrorResponse()) {
    echo ‘Error’;
    return;
}

try {
    $userData = $oauth->authenticate();
    print_r($userData);
}
catch (Exception $e) {
    echo $e->getMessage();
}
}

Pronti? Buon lavoro con OAuth

Anche se molto tecnico, questo post può essere utile a chi cerca un approccio guidato alla materia. Ci piacerebbe sapere cosa ne pensate, avete da aggiungere qualche consiglio?
E per tutti gli altri, che curiosamente ci leggono… ricordate che non è mai troppo tardi per iniziare!

L’OAuth 2.0 (Open Authorization) è un protocollo di autorizzazione descritto da uno standard aperto, pubblicato dallo IETF, che permette l’accesso limitato di alcune applicazioni a dati e funzioni offerte da un servizio web.

Insieme vediamo dove possiamo “incontrarlo” sul web, quali figure coinvolge e come queste dialoghino tra di loro.

Vuoi accedere con il tuo account Facebook? Ci pensa OAuth

Nonostante la dicitura altisonante di protocollo, non è necessario essere informatici di professione per fare la conoscenza di OAuth 2.0 mentre si naviga in Rete.

Condividete come pazzi dal vostro profilo Facebook oppure siete degli utenti “di nicchia” e vi rifugiate su Flickr, il social network di photo sharing che va a braccetto con Yahoo?
Qualsiasi sia la vostra propensione alla condivisione in Rete, siamo sicuri che almeno una volta avrete effettuato l’accesso ad un’applicazione tramite le credenziali di Facebook, Twitter, Flickr e quant’altro.
Per non parlare di tutte le applicazioni alle quali potete accedere direttamente dalla vostra casella Gmail (perché ne avete una anche voi, vero?) dal momento in cui, nel lontano 2010, Google ha implementato il protocollo OAuth per offrire un account di posta che è davvero una fucina di servizi.

Ogni volta che vi rallegrate di poter accedere tramite Facebook, Flickr o Gmail, state stringendo la mano proprio a lui, il famoso protocollo.
È lui che regola lo scambio delle vostre informazioni personali e le “cede” a terzi nella garanzia del totale rispetto della privacy. Sì, gli affidate i vostri dati sensibili, ma avete la certezza che non finiranno in mani sbagliate.

Dal resource owner all’access token: come chiacchierano tra loro i protagonisti di OAuth 2.0

Ammettiamo di non aver mai stretto la mano al team, ma possiamo immaginare che quello di OAuth debba essere un gruppo davvero affiatato per gestire un tale flusso comunicativo. Vediamo chi sono i magnifici cinque e come interagiscono tra loro.

1. Il resource owner: è l’entità che garantisce l’accesso ad una risorsa protetta, ad esempio il nostro utente.
2. Il resource server: il server che ospita i dati e si occupa di gestire le richieste di accesso
3. Il client: un’applicazione che richiede i dati protetti dell’utente con la sua autorizzazione
4. L’authorization server: il server che fornisce un access token al client, dopo aver ottenuto l’autorizzazione da parte dell’utente
5. L’access token: una stringa che rappresenta l’autorizzazione ottenuta dal client, relativa ad uno scopo specifico con una scadenza temporale.

Il client richiede l’autorizzazione all’authorization server tramite l’utente. Se l’utente lo concede, il client ottiene l’autorizzazione e la presenta all’authorization server, per richiedere in cambio un token d’accesso.
Ottenuto l’access token, il client può finalmente richiedere la risorsa protetta al resource server, il quale, validato il token, serve la richiesta restituendo i dati.
Se siete abbastanza nerd e interessati a tutti i dettagli, potete leggere e visionare la specifica di OAuth.

Implementare una classe client? Facciamolo insieme

Ora che abbiamo un’idea chiara di cosa sia OAuth 2.0 siamo pronti per passare alla pratica.
Nel prossimo articolo sarà Fabio, Responsabile Sviluppo Software del team Dexma, a spiegarci come procedere per fornire agli utenti delle nostre applicazioni la possibilità di effettuare il login con uno dei servizi che sopportano l’OAuth2 (Facebook e Google ad esempio), proprio come dicevamo poco più su.

E voi, trovate che sia utile poter effettuare l’accesso senza impostare ogni volta una nuova username e password? Vi fidate a mettere i vostri dati nelle mani di OAuth o siete ancora restii?

Avete letto il nostro articolo su come fare link building dopo Penguin e vi è venuta voglia di mettere le mani in pasta? Se la risposta è sì, è arrivato il momento di presentare a Google il sito del famoso cugino filatelico e di dare il via ad una strategia di link building. Seguite i nostri punti per scoprire cosa evitare e da che parte iniziare.

A Google non piace chi tenta di fargliela sotto al naso, perciò:

• Evitate lo scambio di link o, peggio ancora, la compravendita! Cercate di ottenere collegamenti inerenti al vostro settore, che siano siti e portali “tematici” autorevoli o, quantomeno, affidabili nei contenuti proposti (quelli che, in gergo tecnico, si chiamano quality backlink).
• Diffidate dei tools e dei plug in che vi promettono di fare il lavoro “sporco” mentre vi sollazzate in poltrona. Google penalizza tutto ciò che è contraffatto o che segue scorciatoie, infatti solo tanta dedizione e una giusta dose di pazienza vi premieranno.
• Privilegiate la naturalezza nell’inserimento delle parole-chiave e dei link, relativamente alla struttura del sito e dei suoi contenuti: il pericolo keyword stuffing è sempre dietro l’angolo e non dovete mai sacrificare la leggibilità e la fruibilità del testo.

Invece, il motore di ricerca di Mountain View vi premia se:

• Scegliete le directory giuste, che non siano serbatoi di spam e di contenuti duplicati. Ce ne sono molte davvero di qualità, come la raccolta di directory di Giorgio Tave.
• Piazzate un bel nofollow dove serve. In medio stat virtus, lo dicevano i latini e vale anche per voi, link builder audaci ma consapevoli. I link devono essere bilanciati fra esterni ed interni, e quando non siete sicuri dell’attendibilità di un sito web non pensateci due volte e ricorrete al nofollow, per evitare penalizzazioni che non dipendano direttamente dal vostro sito.
• Gettate le àncore di salvezza nel mondo del web, che significa avere massima cura degli anchor text, affinché gli spider di Google vengano agevolati il più possibile nel loro lavoro di crawling.

La vostra opinione

Come potete immaginare dopo questa carrellata, un bravo SEO non deve mai perdersi d’animo né mancare di curiosità se intende rafforzare la propria rete di collegamenti. Ogni tentativo è importante per la definizione della strategia e per avvicinare il lavoro di ottimizzazione ai desideri dei motori e a quelli del pubblico.

E voi, avete altre best practice da suggerire per ampliare la lista? Noi, intanto, vi auguriamo buon divertimento: perché in fondo, di directory per i filatelici, ne è pieno il web!

Se vi siete imbattuti nell’attività di posizionamento – si tratti del sito amatoriale del cugino appassionato di francobolli o di quello competitivo del cliente importante – di sicuro avrete avuto a che fare con il link building.
Oggi sappiamo che una rete di link basata su un’autorevole link popularity, contenuti ottimizzati e con un’attenzione particolare all’author rank, resta necessaria affinché Google ci accolga nelle sue grazie (e ci permetta anche di restarci).

Ma cosa è cambiato nel corso dell’ultimo anno nel modo di “fare rete” sul web?

Linkbuilding e Google Penguin, largo alla qualità

Quando parliamo di link building intendiamo l’insieme delle pratiche necessarie per costruire una “rete” di link che puntino al sito di cui desideriamo migliorare il Page Rank, l’algoritmo di Google che assegna un “posto in classifica” ad ogni sito indicizzato.

Prima del Penguin update, annunciato da Matt Cutts il 24 aprile dello scorso anno, era molto più semplice parlare di posizionamento: ci si avvaleva di comunicati stampa tutti uguali e spammati in ogni angolo del web, ci si scambiava link con qualsiasi sito e la figura del blogger (o del seo copywriter) rimaneva poco più che un lavoro di nicchia, portato avanti da visionari fautori del contenuto di qualità.

Così, da fine aprile 2012, Penguin ha aperto la caccia a due mostri della rete, il keyword stuffing e l’insidioso linkspam, mettendoli in prima posizione nelle tecniche del “black hat seo” (avete presente il cappello nero a falda larga indossato dai cattivi nei film western? Pare che il nome scelto da Google venga proprio da lì).

A seguito del maremoto che ha coinvolto le prime posizioni della Serp si è dovuto, quindi, puntare sulla qualità e sulla professionalità di un esercito di seo consapevoli e di web writer “ottimizzati”, che ben si differenziano dagli improvvisati scribacchini che popolano il web (ed era anche ora!).

Così, visto che in Dexma siamo generosi e molto social, nel prossimo post vi facciamo un regalo: una check list per iniziare l’attività di link building per il vostro sito… e per quello del famoso cugino.

Così come per NetLex e PiùIva, i prodotti firmati Dexma di cui vi abbiamo parlato le scorse settimane, siamo convinti che l’intero mercato di software, in un prossimo futuro, sarà completamente cloud e social.

La possibilità di accesso e condivisione ai nostri file, da qualsiasi dispositivo ed in qualsiasi momento, unita alla possibilità di condividere i nostri contenuti con pochi passaggi, rende il lavoro più semplice, veloce ed immediato.

Per questo, anche aziende che hanno fatto del lavoro b2b il  loro “core business“, stanno migrando verso lidi oramai irrinunciabili, dove già grandi fette di mercato hanno cominciato a costruire le loro basi operative e le loro fortune.

Non osiamo certo paragonarci ad IBM, ma ci gratifica sapere che le nostre previsioni (già “nostre” da qualche anno, per la verità), sono state corrette, e che siamo riusciti ad interpretare i bisogni dei clienti, di ieri e di oggi, con lo stesso sguardo lungimirante sulle migliori tecnologie: leggete qui delle intenzioni decisamente cloud di questo gigante informatico, e fatevi venire l’acquolina.

Cari avvocati, vi siete mai chiesti quanto tempo potreste risparmiare se poteste seguire le pratiche ed i clienti anche mentre siete in viaggio da un palazzo di giustizia al vostro ufficio?

Netlex è nato proprio lavorando a stretto contatto con i migliori studi legali, confrontandoci con gli avvocati e cercando di andare incontro a tutte le loro esigenze, che sappiamo essere molteplici e non sempre di facile risoluzione.

Così, oltre ad una grafica gradevole, abbiamo voluto regalare ai professionisti la migliore user experience possibile, rendendo il software accessibile anche agli utenti inesperti; il tutto contornato da tantissime features, come l’archivio pratiche, l’agenda legale, uno scadenzario, la gestione documenti e molto altro.

Tutto questo in maniera completamente cloud, ciò significa che da tablet, smartphone o pc, senza nessuna installazione, tutto sarà sempre accessibile 24 ore su 24 con i dati al sicuro.

NetLex è un prodotto a cui teniamo molto, nato diversi anni fa che ora finalmente può mostrarsi nella sua veste migliore, ad un prezzo più che competitivo rispetto agli altri gestionali presenti sul mercato:  complessi da utilizzare e raramente cloud al 100%.

È uno sguardo al futuro, o perlomeno secondo la nostra idea di innovazione tecnologica.

Da poco hai fatto il grande passo ed hai aperto la partita Iva, o già da un po’ sei un libero professionista e ne conosci le gioie e i dolori?

Anche nel caso avessi preso la mano con la fatturazione, siamo sicuri che ti piacerebbe poter gestire le fatture online, per risparmiare tempo ed organizzare meglio il tuo lavoro (e, perché no, magari fare tutto questo a meno di 7 euro al mese).

Dopo l’ennesima mattina di frustrazione davanti ad un programma troppo complicato per le nostre esigenze aziendali, ci siamo detti che “chi fa da sé fa per tre” e abbiamo affidato alla squadra Dexma un obiettivo ambizioso: un software cloud di fatturazione che fosse semplice ma efficace, utilizzabile ovunque e solo con una connessione.

Intanto, ti spieghiamo perché PiùIva è indispensabile per il tuo lavoro:

• per emettere fatture professionali secondo un modello fattura, dove dovrai compilare solo i campi che ti interessano
• per inviare le fatture via email ai clienti ed ottenerle in formato pdf
• per tenere sotto controllo i pagamenti, attraverso un riepilogo che ti mostra le fatture pagate e non pagate
• per gestire ddt, note di credito e preventivi in base a dei filtri di ricerca, che ti permettono di trovare rapidamente il cliente che cerchi.

L’inserimento dei dati porta via molto tempo, per questo PiùIva ti permette di creare anche un archivio personale: inserisci una sola volta i dati dei clienti e dei prodotti / servizi che offri, vedrai quanto sarà semplice compilare le fatture modificando solo i pochi dati necessari.

E se vuoi seguire da vicino le tue entrate, PiùIva elabora per te grafici e statistiche,  così potrai vedere l’andamento del fatturato annuale e mensile della tua attività e fissare nuovi obiettivi.

Che tu abbia un Ipad, un Mac, un portatile o il caro pc “fisso”, non dovrai installare nulla né preoccuparti di aggiornamenti e backup: PiùIva è un software cloud, quindi tiene i dati al sicuro senza bisogno di un server.

Hai 30 giorni di prova gratuita per iniziare ad emettere fatture senza che la scrivania scompaia sotto montagne di fogli e calcoli: lo provi e ci fai sapere?

Vi sembreremo più giovani, o forse più vecchi (soprattutto se capitate in ufficio il venerdì, verso ora di chiusura), ma il 2013 è l’anno di Dexma.
Il decimo, per la precisione.
Frenate il brindisi di Capodanno (anzi, auguri!) e godetevi il nostro micro-bilancio, dove capirete perché non ci siamo ancora annoiati.

1) Voi: sì, proprio i nostri clienti. Croce e delizia di qualsiasi professionista, in questi anni ne abbiamo incontrati (fortunatamente) di tutti i tipi.
Il Supervisor, che controlla ogni tua mossa ma non vuole essere invadente; l’Esigente, che conosce a memoria il numero del centralino e non si fa remore nel comporlo; il Santosubito, che accetta il preventivo al primo colpo ed infine l’Incredulo, che proprio non si capacita che ci vogliano “tutte queste ore per fare un sito internet”.
Per tutti i clienti che ci hanno scelto, per le piccole manie che li hanno resi unici e, soprattutto, per la fiducia che ci hanno dimostrato.. come potremmo pensare di mollare la presa?

2) La Squadra Dexma: in tanti sono passati dai nostri uffici. Chi per qualche mese, chi per qualche anno, chi addirittura è così affezionato da resistere molto di più. Abbiamo sempre creduto che ognuno, con il suo apporto, potesse fare la differenza per il lavoro di tutti.

3) I risultati: non avremmo potuto metterli al primo posto, perché senza chi si rivolge a noi e chi lavora nei nostri uffici, questi non sarebbero mai arrivati. E invece, eccoli qui. Ogni giorno abbiamo la certezza di aver intrapreso la strada giusta e la vostra soddisfazione, oltre ai numeri, ce lo dimostra.

4) I nostri progetti: non abbiamo mai smesso di pensare a prodotti e software che avrebbero potuto semplificare la vita professionale dei clienti. Date un’occhiata a Netlex, il gestionale online per lo studio legale: da un’idea di Fabrizio, datata 1991, ad un riconoscimento ufficiale su Enter the Cloud. Come non essere fieri?

5) Le relazioni: per una volta non parliamo di quelle sui social network, ma dei contatti reali, faccia a faccia, che si costruiscono con la conoscenza ed il rispetto reciproco. Abbiamo scelto di confrontarci con chi lavora nel nostro stesso settore con la giusta dose di competitività e cercando sempre una via aperta alla collaborazione. Crediamo che l’unione faccia la forza, ed è per questo che, negli anni, non è mancata occasione di unirsi ad altre web agency per portare avanti progetti in comune.

Quindi tanti auguri a noi, per un 2013 ricco di nuove sfide. Diamo il via ai festeggiamenti?

Riportiamo e diffondiamo l’appello sul blog di Seeweb http://blog.seeweb.it/internet-perche-siamo-preoccupati/

Invitiamo tutti a diffondere e discutere la notizia, è un problema che ci riguarda tutti.