Si heu utilitzat el botó "Inicia la sessió amb Facebook" o heu donat accés a un tercer al vostre compte de Twitter, heu utilitzat OAuth. També l’utilitzen Google, Microsoft i LinkedIn, així com molts altres proveïdors de comptes. Essencialment, OAuth us permet donar accés a un lloc web a algunes dades sobre el vostre compte sense donar-li la contrasenya real del compte.
OAuth per iniciar la sessió
OAuth té ara dos objectius principals al web. Sovint s’utilitza per crear un compte i iniciar la sessió en un servei en línia de manera més còmoda. Per exemple, en lloc de crear un nom d'usuari i una contrasenya nous de Spotify, podeu fer clic o tocar a Inici de sessió amb Facebook. El servei comprova qui sou a Facebook i creeu un compte nou. Quan accediu a aquest servei en el futur, veureu que inicieu la sessió amb el mateix compte de Facebook i us donarà accés al vostre compte. No cal que configureu un compte nou ni res més, sinó que Facebook us autenticarà.
De totes maneres, això és completament diferent de donar al servei la contrasenya del vostre compte de Facebook. El servei no obté mai la contrasenya del vostre compte de Facebook ni l’accés complet al vostre compte. Només pot mostrar algunes dades personals limitades, com ara el vostre nom i adreça electrònica. No pot visualitzar els vostres missatges privats ni publicar-los a la vostra cronologia.
"Inicieu la sessió amb Twitter", "Inicieu la sessió amb Google", "Inicieu la sessió amb Microsoft", "Inicieu la sessió amb LinkedIn" i altres botons similars d'altres llocs web funcionen de la mateixa manera,
OAuth per a aplicacions de tercers
OAuth també s’utilitza quan es dóna accés a aplicacions de tercers a comptes com ara comptes de Twitter, Facebook, Google o Microsoft. Aquestes aplicacions de tercers poden accedir a parts del vostre compte. Tanmateix, mai no reben la contrasenya del vostre compte. Cada aplicació obté un codi d’accés únic que limita l’accés al vostre compte. Per exemple, una aplicació de Twitter de tercers pot tenir la possibilitat de mostrar només els vostres tweets, però no de publicar-ne de nous. Aquest testimoni d'accés únic es pot revocar en el futur i només aquesta aplicació específica perdrà l'accés al vostre compte.
Com a exemple més, podeu donar accés a una aplicació de tercers només als vostres correus electrònics de Gmail, però restringiu-ne la possibilitat de fer qualsevol altra cosa amb el vostre compte de Google.
Això és molt diferent que simplement donar a una aplicació de tercers la contrasenya del compte i deixar-la iniciar la sessió. Les aplicacions són limitades pel que poden fer i aquest testimoni d'accés únic significa que podeu revocar l'accés al compte en qualsevol moment sense canviar la contrasenya del compte principal i sense revocar l'accés d'altres aplicacions.
Com funciona OAuth?
Probablement no veureu la paraula "OAuth" quan la feu servir. Els llocs web i les aplicacions només us demanaran que inicieu la sessió amb Facebook, Twitter, Google, Microsoft, LinkedIn o qualsevol altre tipus de compte.
Quan trieu un compte, se us dirigirà al lloc web del proveïdor de comptes, on haureu d'iniciar la sessió amb aquest compte si actualment no esteu connectat. Si heu iniciat la sessió, és genial. Ni tan sols cal que introduïu cap contrasenya.
Assegureu-vos que realment us dirigiu a Facebook, Twitter, Google, Microsoft, LinkedIn o qualsevol altre lloc web de servei amb una connexió HTTPS segura abans d'escriure la contrasenya. Aquesta part del procés sembla estar preparada per a la pesca, on els llocs web maliciosos poden afirmar que són el lloc de servei real per intentar capturar la vostra contrasenya.
Segons el funcionament del servei, és possible que inicieu la sessió automàticament amb poca informació personal o que aparegui un missatge per donar accés a l'aplicació a alguns del vostre compte. Fins i tot podeu triar a quina informació voleu donar accés a l’aplicació.
Un cop concediu accés a l'aplicació, ja està. El servei que trieu proporcionarà un codi d’accés únic. Emmagatzema aquest testimoni i el fa servir per accedir a aquests detalls sobre el vostre compte en el futur. Depenent de l'aplicació, només es pot utilitzar per autenticar-vos quan inicieu la sessió o per accedir automàticament al vostre compte i fer coses en segon pla. Per exemple, una aplicació de tercers que analitzi el vostre compte de Gmail pot accedir regularment als vostres correus electrònics perquè us pugui enviar una notificació si troba alguna cosa.
Com es pot veure i revocar l'accés des d'aplicacions externes
Podeu veure i gestionar la llista de llocs web i aplicacions de tercers que tenen accés al vostre compte al lloc web de cada compte. És una bona idea comprovar-les de tant en tant, ja que és possible que alguna vegada hagis donat accés a la teva informació personal a un servei, hagis deixat d'utilitzar-la i hagis oblidat que aquest servei encara hi té accés. La restricció dels serveis que poden accedir al vostre compte us pot ajudar a protegir-lo i a les vostres dades privades.
Per obtenir informació tècnica més detallada sobre la implementació d'OAuth, visiteu Lloc web OAuth .
