Wenn Sie die Schaltfläche „Mit Facebook anmelden“ verwendet oder einem Dritten Zugriff auf Ihr Twitter-Konto gewährt haben, haben Sie OAuth verwendet. Es wird auch von Google, Microsoft und LinkedIn sowie vielen anderen Kontoanbietern verwendet. Im Wesentlichen ermöglicht OAuth es Ihnen, einer Website Zugriff auf einige Informationen über Ihr Konto zu gewähren, ohne Ihr tatsächliches Kontopasswort anzugeben.
OAuth zum Anmelden
OAuth hat im Web derzeit zwei Hauptzwecke. Es wird häufig verwendet, um ein Konto zu erstellen und sich bequemer bei einem Online-Dienst anzumelden. Anstatt beispielsweise einen neuen Spotify-Benutzernamen und ein neues Passwort zu erstellen, können Sie auf Mit Facebook anmelden klicken oder tippen. Der Dienst überprüft, wer Sie auf Facebook sind und erstellt ein neues Konto für Sie. Wenn Sie sich zukünftig bei diesem Dienst anmelden, sehen Sie, dass Sie sich mit demselben Facebook-Konto anmelden und Ihnen Zugriff auf Ihr Konto gewähren. Sie müssen kein neues Konto einrichten oder sonst etwas – Facebook authentifiziert Sie stattdessen.
Dies ist sowieso etwas völlig anderes, als dem Dienst nur das Passwort Ihres Facebook-Kontos zu geben. Der Dienst erhält niemals Ihr Facebook-Kontokennwort oder vollen Zugriff auf Ihr Konto. Es können nur einige eingeschränkte persönliche Daten wie Ihr Name und Ihre E-Mail-Adresse angezeigt werden. Es kann Ihre privaten Nachrichten nicht anzeigen oder in Ihrer Chronik posten.
„Mit Twitter anmelden“, „Mit Google anmelden“, „Mit Microsoft anmelden“, „Mit LinkedIn anmelden“ und andere ähnliche Schaltflächen für andere Websites funktionieren auf die gleiche Weise.
OAuth für Drittanbieter-Apps
OAuth wird auch verwendet, wenn Drittanbieteranwendungen Zugriff auf Konten wie Twitter-, Facebook-, Google- oder Microsoft-Konten gewährt werden. Diese Anwendungen von Drittanbietern dürfen auf Teile Ihres Kontos zugreifen. Sie erhalten jedoch nie Ihr Kontopasswort. Jede App erhält einen eindeutigen Zugangscode, der den Zugriff auf Ihr Konto einschränkt. Beispielsweise kann eine Twitter-App eines Drittanbieters nur Ihre Tweets anzeigen, aber keine neuen posten. Dieses eindeutige Zugriffstoken kann in Zukunft widerrufen werden, und nur diese bestimmte App verliert den Zugriff auf Ihr Konto.
Als weiteres Beispiel können Sie einer Drittanbieter-App nur Zugriff auf Ihre Gmail-E-Mails gewähren, sie jedoch auf andere Aktionen mit Ihrem Google-Konto beschränken.
Dies ist etwas ganz anderes, als nur einer Drittanbieter-App Ihr Kontopasswort zu geben und sie sich anmelden zu lassen. Apps sind in ihren Möglichkeiten eingeschränkt, und dieses einzigartige Zugriffstoken bedeutet, dass Sie den Kontozugriff jederzeit widerrufen können, ohne Ihr Hauptkontokennwort zu ändern und ohne den Zugriff von anderen Apps zu widerrufen.
Wie funktioniert OAuth?
Sie werden das Wort "OAuth" wahrscheinlich nicht sehen, wenn Sie es verwenden. Websites und Apps fordern Sie nur auf, sich mit Facebook, Twitter, Google, Microsoft, LinkedIn oder einem anderen Kontotyp anzumelden.
Wenn Sie ein Konto auswählen, werden Sie auf die Website des Kontoanbieters weitergeleitet, wo Sie sich mit diesem Konto anmelden müssen, wenn Sie derzeit nicht eingeloggt sind. Wenn Sie eingeloggt sind - großartig! Sie müssen nicht einmal ein Passwort eingeben.
Stellen Sie sicher, dass Sie tatsächlich zu Facebook, Twitter, Google, Microsoft, LinkedIn oder einer anderen Service-Website mit einer sicheren HTTPS-Verbindung geleitet werden, bevor Sie das Passwort eingeben! Dieser Teil des Prozesses scheint Phishing-fähig zu sein, bei dem böswillige Websites behaupten können, die echte Service-Site zu sein, um Ihr Passwort abzugreifen.
Abhängig von der Funktionsweise des Dienstes werden Sie möglicherweise automatisch mit wenigen persönlichen Informationen angemeldet oder Sie werden aufgefordert, der App Zugriff auf einen Teil Ihres Kontos zu gewähren. Möglicherweise können Sie sogar auswählen, auf welche Informationen Sie der App Zugriff gewähren möchten.
Sobald Sie der App Zugriff gewähren, ist es fertig. Der von Ihnen gewählte Service bietet einen eindeutigen Zugangscode. Es speichert dieses Token und verwendet es, um in Zukunft auf diese Details Ihres Kontos zuzugreifen. Je nach App kann dies nur verwendet werden, um Sie bei der Anmeldung zu authentifizieren oder automatisch auf Ihr Konto zuzugreifen und Dinge im Hintergrund zu erledigen. Beispielsweise kann eine Drittanbieter-App, die Ihr Gmail-Konto scannt, regelmäßig auf Ihre E-Mails zugreifen, um Ihnen eine Benachrichtigung zu senden, wenn sie etwas findet.
So zeigen Sie den Zugriff von externen Apps an und entziehen ihn
Sie können die Liste der Websites und Apps von Drittanbietern, die Zugriff auf Ihr Konto haben, auf der Website jedes Kontos anzeigen und verwalten. Es ist eine gute Idee, diese von Zeit zu Zeit zu überprüfen, da Sie möglicherweise einmal einem Dienst Zugriff auf Ihre persönlichen Daten gewährt, die Nutzung eingestellt und vergessen haben, dass dieser Dienst noch Zugriff hat. Das Einschränken der Dienste, die auf Ihr Konto zugreifen können, kann dazu beitragen, dieses und Ihre privaten Daten zu schützen.
Ausführlichere technische Informationen zur Implementierung von OAuth finden Sie unter OAuth-Website .
