En octubre de 2012 el IETF publica el RFC 6749, que define OAuth 2.0 (Open Authorization) como el marco estándar de autorización delegada en la web. OAuth tiene su origen en 2006, cuando Blaine Cook (Twitter) y Gnarly Karlssonson (Ma.gnolia) identifican la necesidad de un protocolo abierto de autorización para APIs web; la especificación informal resultante, OAuth Core 1.0, se publica en diciembre de 2007. En abril de 2010 el IETF formaliza OAuth 1.0 como RFC 5849, pero el modelo criptográfico basado en firma HMAC resulta complejo de implementar correctamente, especialmente en aplicaciones móviles y de una sola página. OAuth 2.0, liderado por Dick Hardt (Microsoft) con el grupo de trabajo IETF OAuth, abandona el esquema de firma y delega toda la seguridad en TLS, simplificando radicalmente la implementación a costa de requerir HTTPS en todos los flujos. El mecanismo central es el token de acceso de vida limitada: el usuario concede permiso explícito a una aplicación solicitante, que recibe un token para actuar en su nombre sin conocer sus credenciales. OAuth 2.0 se convierte en la infraestructura de autorización dominante de la web moderna: es el protocolo subyacente del botón 'Iniciar sesión con Google/Facebook/Apple' que usan miles de millones de usuarios diariamente, y el estándar sobre el que se construye OpenID Connect (OIDC), el protocolo de autenticación de identidad federada. Su adopción universal descansa sobre TLS como capa de transporte seguro obligatoria: el RFC 6749 no define cifrado propio y delega explícitamente en TLS para la confidencialidad de todos los tokens.