Si ha utilizado el botón "Iniciar sesión con Facebook" o le ha dado acceso a un tercero a su cuenta de Twitter, ha utilizado OAuth. También lo utilizan Google, Microsoft y LinkedIn, así como muchos otros proveedores de cuentas. Básicamente, OAuth le permite dar acceso a un sitio web a cierta información sobre su cuenta sin darle la contraseña real de su cuenta.
OAuth para iniciar sesión
OAuth tiene dos propósitos principales en la web en este momento. A menudo se usa para crear una cuenta e iniciar sesión en un servicio en línea de manera más conveniente. Por ejemplo, en lugar de crear un nuevo nombre de usuario y contraseña de Spotify, puede hacer clic o tocar Iniciar sesión con Facebook. El servicio verifica quién eres en Facebook y crea una nueva cuenta para ti. Cuando inicie sesión en este servicio en el futuro, verá que inicia sesión con la misma cuenta de Facebook y le da acceso a su cuenta. No es necesario que configure una nueva cuenta ni nada más; Facebook lo autentica en su lugar.
De todos modos, esto es completamente diferente a simplemente darle al servicio la contraseña de su cuenta de Facebook. El servicio nunca obtiene la contraseña de su cuenta de Facebook ni el acceso completo a su cuenta. Solo puede mostrar algunos datos personales limitados, como su nombre y dirección de correo electrónico. No puede ver sus mensajes privados ni publicar en su línea de tiempo.
"Iniciar sesión con Twitter", "Iniciar sesión con Google", "Iniciar sesión con Microsoft", "Iniciar sesión con LinkedIn" y otros botones similares para otros sitios web funcionan de la misma manera,
OAuth para aplicaciones de terceros
OAuth también se utiliza para dar acceso a aplicaciones de terceros a cuentas como Twitter, Facebook, Google o cuentas de Microsoft. Estas aplicaciones de terceros pueden acceder a partes de su cuenta. Sin embargo, nunca obtienen la contraseña de su cuenta. Cada aplicación recibe un código de acceso único que limita el acceso a su cuenta. Por ejemplo, una aplicación de Twitter de terceros puede tener la capacidad de mostrar solo sus tweets, pero no publicar nuevos. Este token de acceso único se puede revocar en el futuro y solo esa aplicación específica perderá el acceso a su cuenta.
Como otro ejemplo, puede otorgar acceso a una aplicación de terceros solo a sus correos electrónicos de Gmail, pero restringirla para que no haga nada más con su cuenta de Google.
Esto es bastante diferente a simplemente darle a una aplicación de terceros la contraseña de su cuenta y permitirle que inicie sesión. Las aplicaciones están limitadas en lo que pueden hacer, y este token de acceso único significa que puede revocar el acceso a la cuenta en cualquier momento sin cambiar la contraseña de su cuenta principal y sin revocar el acceso desde otras aplicaciones.
¿Cómo funciona OAuth?
Probablemente no verá la palabra "OAuth" cuando la use. Los sitios web y las aplicaciones solo le pedirán que inicie sesión con Facebook, Twitter, Google, Microsoft, LinkedIn o cualquier otro tipo de cuenta.
Cuando elija una cuenta, se le dirigirá al sitio web del proveedor de la cuenta, donde tendrá que iniciar sesión con esa cuenta si no ha iniciado sesión actualmente. Si ha iniciado sesión, ¡genial! Ni siquiera tiene que ingresar una contraseña.
¡Asegúrese de estar realmente dirigido a Facebook, Twitter, Google, Microsoft, LinkedIn o cualquier otro sitio web de servicio con una conexión HTTPS segura antes de escribir la contraseña! Esta parte del proceso parece estar lista para el phishing, donde los sitios web maliciosos pueden afirmar ser el sitio de servicio real en un intento de capturar su contraseña.
Dependiendo de cómo funcione el servicio, es posible que inicie sesión automáticamente con poca información personal, o puede ver un mensaje para que la aplicación acceda a algunas de sus cuentas. Incluso puede elegir a qué información desea dar acceso a la aplicación.
Una vez que otorgue acceso a la aplicación, estará listo. El servicio que elija proporcionará un código de acceso único. Almacena este token y lo usa para acceder a estos detalles sobre su cuenta en el futuro. Dependiendo de la aplicación, esto solo se puede usar para autenticarte cuando inicias sesión o para acceder automáticamente a tu cuenta y hacer cosas en segundo plano. Por ejemplo, una aplicación de terceros que escanea su cuenta de Gmail puede acceder regularmente a sus correos electrónicos para poder enviarle una notificación si encuentra algo.
Cómo ver y revocar el acceso desde aplicaciones externas
Puede ver y administrar la lista de sitios web y aplicaciones de terceros que tienen acceso a su cuenta en el sitio web de cada cuenta. Es una buena idea verificarlos de vez en cuando, ya que es posible que alguna vez hayas dado acceso a tu información personal a un servicio, hayas dejado de usarlo y hayas olvidado que ese servicio todavía tiene acceso. Restringir los servicios que pueden acceder a su cuenta puede ayudar a protegerla y proteger sus datos privados.
Para obtener información técnica más detallada sobre la implementación de OAuth, visite Sitio web de OAuth .
