Si vous avez utilisé le bouton « Connexion avec Facebook » ou donné à un tiers l'accès à votre compte Twitter, vous avez utilisé OAuth. Il est également utilisé par Google, Microsoft et LinkedIn, ainsi que par de nombreux autres fournisseurs de comptes. Essentiellement, OAuth vous permet de donner à un site Web l'accès à certaines informations sur votre compte sans lui donner le mot de passe réel de votre compte.
OAuth pour se connecter
OAuth a actuellement deux objectifs principaux sur le Web. Il est souvent utilisé pour créer un compte et se connecter plus facilement à un service en ligne. Par exemple, au lieu de créer un nouveau nom d'utilisateur et mot de passe Spotify, vous pouvez cliquer ou appuyer sur Se connecter avec Facebook. Le service vérifie qui vous êtes sur Facebook et crée un nouveau compte pour vous. Lorsque vous vous connecterez à ce service à l'avenir, vous verrez que vous vous connectez avec le même compte Facebook et vous donnerez accès à votre compte. Vous n'avez pas besoin de créer un nouveau compte ou quoi que ce soit d'autre - Facebook vous authentifie à la place.
C'est complètement différent que de simplement donner au service le mot de passe de votre compte Facebook, de toute façon. Le service n'obtient jamais le mot de passe de votre compte Facebook ou un accès complet à votre compte. Il ne peut afficher que certaines informations personnelles limitées, telles que votre nom et votre adresse e-mail. Il ne peut pas afficher vos messages privés ou publier sur votre journal.
"Se connecter avec Twitter", "Se connecter avec Google", "Se connecter avec Microsoft", "Se connecter avec LinkedIn" et d'autres boutons similaires pour d'autres sites Web fonctionnent de la même manière,
OAuth pour les applications tierces
OAuth est également utilisé pour permettre à des applications tierces d'accéder à des comptes tels que Twitter, Facebook, Google ou Microsoft. Ces applications tierces sont autorisées à accéder à des parties de votre compte. Cependant, ils n'obtiennent jamais le mot de passe de votre compte. Chaque application reçoit un code d'accès unique qui limite l'accès à votre compte. Par exemple, une application Twitter tierce peut avoir la possibilité d'afficher uniquement vos tweets, mais pas d'en publier de nouveaux. Ce jeton d'accès unique peut être révoqué à l'avenir, et seule cette application spécifique perdra l'accès à votre compte.
Autre exemple, vous pouvez autoriser une application tierce à accéder uniquement à vos e-mails Gmail, mais l'empêcher de faire autre chose avec votre compte Google.
C'est assez différent de simplement donner à une application tierce le mot de passe de votre compte et de la laisser se connecter. Les applications sont limitées dans ce qu'elles peuvent faire, et ce jeton d'accès unique signifie que vous pouvez révoquer l'accès au compte à tout moment sans changer le mot de passe de votre compte principal et sans révoquer l'accès à partir d'autres applications.
Comment fonctionne OAuth ?
Vous ne verrez probablement pas le mot "OAuth" lorsque vous l'utiliserez. Les sites Web et les applications vous demanderont uniquement de vous connecter avec Facebook, Twitter, Google, Microsoft, LinkedIn ou tout autre type de compte.
Lorsque vous choisissez un compte, vous serez dirigé vers le site Web du fournisseur de compte, où vous devrez vous connecter avec ce compte si vous n'êtes pas actuellement connecté. Si vous êtes connecté, super ! Vous n'avez même pas besoin d'entrer un mot de passe.
Assurez-vous que vous êtes bien dirigé vers Facebook, Twitter, Google, Microsoft, LinkedIn ou tout autre site Web de service avec une connexion HTTPS sécurisée avant de taper le mot de passe ! Cette partie du processus semble prête pour le phishing, où des sites Web malveillants peuvent prétendre être le véritable site de service pour tenter de capturer votre mot de passe.
Selon le fonctionnement du service, vous pouvez être automatiquement connecté avec peu d'informations personnelles, ou vous pouvez voir une invite pour donner à l'application l'accès à certains de vos comptes. Vous pouvez même choisir les informations auxquelles vous souhaitez donner accès à l'application.
Une fois que vous avez accordé l'accès à l'application, c'est fait. Le service que vous choisissez vous fournira un code d'accès unique. Il stocke ce jeton et l'utilise pour accéder à ces détails sur votre compte à l'avenir. Selon l'application, cela ne peut être utilisé que pour vous authentifier lorsque vous vous connectez, ou pour accéder automatiquement à votre compte et faire des choses en arrière-plan. Par exemple, une application tierce qui analyse votre compte Gmail peut accéder régulièrement à vos e-mails afin de pouvoir vous envoyer une notification si elle trouve quelque chose.
Comment afficher et révoquer l'accès à partir d'applications externes
Vous pouvez afficher et gérer la liste des sites Web et applications tiers qui ont accès à votre compte sur le site Web de chaque compte. C'est une bonne idée de les vérifier de temps en temps, car vous avez peut-être déjà donné accès à vos informations personnelles à un service, cessé de les utiliser et oublié que ce service y a toujours accès. Restreindre les services qui peuvent accéder à votre compte peut aider à le sécuriser ainsi que vos données privées.
Pour des informations techniques plus détaillées sur la mise en œuvre d'OAuth, visitez Site Web OAuth .
