Se utilizou o botón "Iniciar sesión con Facebook" ou deu acceso a un terceiro á súa conta de Twitter, empregou OAuth. Tamén o usan Google, Microsoft e LinkedIn, así como moitos outros provedores de contas. Esencialmente, OAuth permítelle dar acceso a un sitio web a algunha información sobre a súa conta sen darlle o seu contrasinal de conta real.
OAuth para iniciar sesión
OAuth ten agora dous propósitos principais na web. A miúdo úsase para crear unha conta e iniciar sesión nun servizo en liña de xeito máis cómodo. Por exemplo, en lugar de crear un novo nome de usuario e contrasinal de Spotify, podes facer clic ou tocar en Iniciar sesión con Facebook. O servizo comproba quen es en Facebook e crea unha nova conta para ti. Cando inicie sesión neste servizo no futuro, verá que inicia sesión coa mesma conta de Facebook e lle dá acceso á súa conta. Non é preciso configurar unha conta nova nin nada máis; no seu lugar Facebook auténtícate.
De todos os xeitos, isto é completamente diferente ao de dar ao servizo o contrasinal da súa conta de Facebook. O servizo nunca recibe o contrasinal da túa conta de Facebook nin o acceso completo á túa conta. Só pode amosar algúns datos persoais limitados, como o seu nome e enderezo de correo electrónico. Non pode ver as túas mensaxes privadas nin publicar na túa cronoloxía.
"Iniciar sesión con Twitter", "Iniciar sesión en Google", "Iniciar sesión con Microsoft", "Iniciar sesión en LinkedIn" e outros botóns similares para outros sitios web funcionan do mesmo xeito,
OAuth para aplicacións de terceiros
OAuth tamén se usa cando se dá acceso a contas como Twitter, Facebook, Google ou Microsoft a aplicacións de terceiros. Estas aplicacións de terceiros teñen permiso para acceder a partes da súa conta. Non obstante, nunca reciben o contrasinal da túa conta. Cada aplicación recibe un código de acceso único que limita o acceso á túa conta. Por exemplo, unha aplicación de Twitter de terceiros pode ter a capacidade de amosar só os teus tweets, pero non publicar outros novos. Este token de acceso único pode ser revogado no futuro e só esa aplicación específica perderá o acceso á súa conta.
Como outro exemplo, podes dar acceso a unha aplicación de terceiros só aos teus correos electrónicos de Gmail, pero restrinxilo a facer calquera outra cousa coa túa conta de Google.
Isto é bastante diferente de darlle a unha aplicación de terceiros o contrasinal da súa conta e deixala iniciar sesión. As aplicacións están limitadas no que poden facer e este token de acceso único significa que pode revocar o acceso á conta en calquera momento sen cambiar o contrasinal da súa conta principal e sen revogar o acceso doutras aplicacións.
Como funciona OAuth?
Probablemente non vexa a palabra "OAuth" cando a use. Os sitios web e as aplicacións só che pedirán que inicies sesión con Facebook, Twitter, Google, Microsoft, LinkedIn ou calquera outro tipo de conta.
Cando escolla unha conta, dirixirase ao sitio web do provedor da conta, onde terá que iniciar sesión con esa conta se non está iniciado sesión. Se inicia sesión - xenial! Nin sequera tes que introducir un contrasinal.
Asegúrese de que está dirixido a Facebook, Twitter, Google, Microsoft, LinkedIn ou calquera outro sitio web de servizos cunha conexión HTTPS segura antes de escribir o contrasinal. Esta parte do proceso parece estar preparada para phishing, onde os sitios web maliciosos poden afirmar que son o sitio de servizo real nun intento de capturar o seu contrasinal.
Dependendo de como funcione o servizo, é posible que inicies sesión automaticamente con pouca información persoal ou podes ver unha solicitude para darlle á aplicación acceso a algunha da túa conta. Incluso pode ser capaz de escoller a que información desexa dar acceso á aplicación.
Unha vez concedido o acceso á aplicación, xa está feito. O servizo que escollas proporcionará un código de acceso único. Almacena este token e úsao para acceder a estes detalles sobre a túa conta no futuro. Dependendo da aplicación, esta só se pode usar para autenticarte cando inicias sesión ou para acceder automaticamente á túa conta e facer cousas en segundo plano. Por exemplo, unha aplicación de terceiros que analiza a túa conta de Gmail pode acceder regularmente aos teus correos electrónicos para que che poida enviar unha notificación se atopa algo.
Como ver e revocar o acceso desde aplicacións externas
Podes ver e xestionar a lista de sitios web e aplicacións de terceiros que teñen acceso á túa conta no sitio web de cada conta. É unha boa idea revisalos de cando en vez, xa que é posible que xa teña dado acceso á súa información persoal a un servizo, deixe de usalo e esquece que ese servizo aínda ten acceso. A restrición dos servizos que poden acceder á túa conta pode axudar a protexela e aos teus datos privados.
Para obter información técnica máis detallada sobre a implementación de OAuth, visite Páxina web de OAuth .
