Co to jest OAuth? Jak działają te przyciski logowania na Facebooku, Twitterze i Google
Jeśli kiedykolwiek używałeś przycisku "Zaloguj się za pomocą Facebooka" lub uzyskaj dostęp aplikacji innej firmy do swojego konta na Twitterze, używałeś OAuth. Jest również używany przez Google, Microsoft i LinkedIn, a także wielu innych dostawców kont. Zasadniczo OAuth umożliwia przyznanie stronie dostępu do niektórych informacji o koncie bez podania jego rzeczywistego hasła do konta.
OAuth do logowania
OAuth ma obecnie w sieci dwa główne cele. Często służy do wygodniejszego tworzenia konta i logowania do usługi online. Na przykład zamiast tworzyć nową nazwę użytkownika i hasło do Spotify, możesz kliknąć lub dotknąć "Zaloguj się przez Facebooka". Usługa sprawdza, czy jesteś na Facebooku i tworzy dla ciebie nowe konto. Gdy zalogujesz się do tej usługi w przyszłości, zobaczysz, że logujesz się na to samo konto Facebooka i masz dostęp do swojego konta. Nie musisz zakładać nowego konta ani niczego - zamiast tego uwierzytelnia Cię Facebook.
Różni się to jednak od zwykłego podania usługi hasła do konta na Facebooku. Usługa nigdy nie otrzyma hasła do konta Facebook ani pełnego dostępu do konta. Może wyświetlać tylko kilka ograniczonych danych osobowych, takich jak imię i nazwisko oraz adres e-mail. Nie może wyświetlać Twoich prywatnych wiadomości ani publikować na osi czasu.
Te "Zaloguj się za pomocą Twittera", "Zaloguj się przez Google", "Zaloguj się za pomocą Microsoft", "Zaloguj się przez LinkedIn" i inne podobne przyciski do innych witryn działają w ten sam sposób, aby
OAuth dla aplikacji innych firm
OAuth jest również używany, gdy dajesz aplikacjom innych firm dostęp do kont takich jak Twitter, Facebook, Google lub konta Microsoft. Umożliwia to aplikacjom innych firm dostęp do części konta. Jednak nigdy nie otrzymują hasła do konta. Każda aplikacja otrzymuje unikalny token dostępu, który ogranicza dostęp do konta. Na przykład aplikacja innej firmy do Twittera może mieć tylko możliwość przeglądania twoich tweetów, ale nie dodawać nowych tweetów. Ten unikalny token dostępu może zostać odwołany w przyszłości i tylko ta konkretna aplikacja utraci dostęp do Twojego konta.
Innym przykładem może być przyznanie aplikacji innej firmy dostępu tylko do wiadomości e-mail w Gmailu, ale ograniczenie dostępu do niej za pomocą konta Google.
Różni się to od zwykłego podania hasła do konta innej osobie i umożliwienia logowania. Aplikacje mają ograniczone możliwości działania, a ten unikalny token dostępu oznacza, że dostęp do konta można w każdej chwili odwołać bez zmiany głównej hasło i bez odwoływania dostępu z innych aplikacji.
Jak działa OAuth
Prawdopodobnie nie zobaczysz słowa "OAuth", gdy go używasz. Witryny i aplikacje po prostu poprosią Cię o zalogowanie się za pomocą Facebooka, Twittera, Google, Microsoft, LinkedIn lub innego rodzaju konta.
Gdy wybierzesz konto, przekierujemy Cię do witryny dostawcy konta, gdzie musisz zalogować się na to konto, jeśli nie jesteś zalogowany. Jeśli jesteś dobrze zalogowany! Nie musisz nawet wpisywać hasła.
Upewnij się, że faktycznie jesteś skierowany do prawdziwego Facebooka, Twittera, Google, Microsoftu, LinkedIn lub jakiejkolwiek innej witryny z bezpiecznym połączeniem HTTPS przed wpisaniem hasła! Ta część procesu wydaje się być gotowa na wyłudzanie informacji, ponieważ złośliwe witryny mogą udawać prawdziwą stronę usługi, próbując przechwycić twoje hasło.
W zależności od sposobu działania usługi możesz automatycznie zalogować się przy użyciu niektórych danych osobowych lub możesz zobaczyć prośbę o przyznanie aplikacji dostępu do niektórych kont. Możesz nawet wybrać informacje, które chcesz udostępnić aplikacji.
Po udzieleniu dostępu do aplikacji jest to gotowe. Twoja wybrana usługa zapewnia stronie internetowej lub aplikacji unikalny token dostępu. Przechowuje token i używa go do uzyskiwania dostępu do tych informacji o koncie w przyszłości. W zależności od aplikacji może to służyć tylko do uwierzytelnienia użytkownika po zalogowaniu lub do automatycznego dostępu do konta i robienia rzeczy w tle. Na przykład aplikacja innej firmy, która skanuje Twoje konto Gmail, może regularnie uzyskiwać dostęp do Twoich e-maili, dzięki czemu może wysłać ci powiadomienie, jeśli coś znajdzie..
Jak przeglądać i odbierać dostęp z aplikacji innych firm
Możesz przeglądać i zarządzać listą witryn i aplikacji stron trzecich, które mają dostęp do Twojego konta na stronie każdego konta. Warto od czasu do czasu je sprawdzać, ponieważ raz dostałeś dostęp do swoich danych osobowych do usługi, przestałeś z niej korzystać i zapomniałeś, że usługa nadal ma do nich dostęp. Ograniczenie usług, które mają dostęp do Twojego konta, może pomóc zabezpieczyć to i twoje prywatne dane.
Aby uzyskać bardziej szczegółowe informacje techniczne dotyczące wdrażania OAuth, odwiedź witrynę OAuth.