Jika Anda telah menggunakan tombol "Masuk dengan Facebook", atau telah memberikan akses pihak ketiga ke akun Twitter Anda, Anda telah menggunakan OAuth. Ini juga digunakan oleh Google, Microsoft, dan LinkedIn, serta banyak penyedia akun lainnya. Pada dasarnya, OAuth memungkinkan Anda untuk memberikan akses situs web ke beberapa informasi tentang akun Anda tanpa memberikan kata sandi akun Anda yang sebenarnya.
OAuth untuk masuk
OAuth memiliki dua tujuan utama di web saat ini. Ini sering digunakan untuk membuat akun dan masuk ke layanan online dengan lebih nyaman. Misalnya, alih-alih membuat nama pengguna dan kata sandi Spotify baru, Anda dapat mengeklik atau mengetuk Masuk dengan Facebook. Layanan ini memeriksa untuk melihat siapa Anda di Facebook dan membuat akun baru untuk Anda. Saat Anda masuk ke layanan ini di masa mendatang, Anda akan melihat bahwa Anda masuk dengan akun Facebook yang sama dan memberi Anda akses ke akun Anda. Anda tidak perlu membuat akun baru atau apa pun - sebagai gantinya Facebook mengautentikasi Anda.
Ini benar-benar berbeda dari sekadar memberikan layanan kata sandi akun Facebook Anda. Layanan ini tidak pernah mendapatkan kata sandi akun Facebook Anda atau akses penuh ke akun Anda. Itu hanya dapat menampilkan beberapa detail pribadi terbatas, seperti nama dan alamat email Anda. Itu tidak dapat melihat pesan pribadi Anda atau posting ke timeline Anda.
"Masuk dengan Twitter", "Masuk dengan Google", "Masuk dengan Microsoft", "Masuk dengan LinkedIn" dan tombol serupa lainnya untuk situs web lain bekerja dengan cara yang sama,
OAuth untuk aplikasi pihak ketiga
OAuth juga digunakan saat memberi aplikasi pihak ketiga akses ke akun seperti akun Twitter, Facebook, Google, atau Microsoft. Aplikasi pihak ketiga ini diizinkan untuk mengakses bagian dari akun Anda. Namun, mereka tidak pernah mendapatkan kata sandi akun Anda. Setiap aplikasi mendapatkan kode akses unik yang membatasi akses ke akun Anda. Misalnya, aplikasi Twitter pihak ketiga mungkin memiliki kemampuan untuk hanya menampilkan tweet Anda, tetapi tidak memposting yang baru. Token akses unik ini dapat dicabut di masa mendatang, dan hanya aplikasi tertentu yang akan kehilangan akses ke akun Anda.
Sebagai contoh lain, Anda mungkin memberikan akses aplikasi pihak ketiga hanya ke email Gmail Anda, tetapi membatasinya dari melakukan hal lain dengan akun Google Anda.
Ini sangat berbeda dari sekadar memberi aplikasi pihak ketiga kata sandi akun Anda dan membiarkannya masuk. Aplikasi terbatas dalam apa yang dapat mereka lakukan, dan token akses unik ini berarti Anda dapat mencabut akses akun kapan saja tanpa mengubah kata sandi akun utama Anda dan tanpa mencabut akses dari aplikasi lain.
Bagaimana cara kerja OAuth?
Anda mungkin tidak akan melihat kata "OAuth" saat menggunakannya. Situs web dan aplikasi hanya akan meminta Anda untuk masuk dengan Facebook, Twitter, Google, Microsoft, LinkedIn, atau jenis akun lainnya.
Saat Anda memilih akun, Anda akan diarahkan ke situs web penyedia akun, di mana Anda harus masuk dengan akun tersebut jika saat ini Anda belum masuk. Jika Anda masuk - bagus! Anda bahkan tidak perlu memasukkan kata sandi.
Pastikan Anda benar-benar diarahkan ke Facebook, Twitter, Google, Microsoft, LinkedIn, atau situs web layanan lainnya dengan koneksi HTTPS yang aman sebelum Anda mengetikkan kata sandi! Bagian dari proses ini tampaknya siap untuk phishing, di mana situs web jahat dapat mengklaim sebagai situs layanan sebenarnya dalam upaya untuk menangkap kata sandi Anda.
Bergantung pada cara kerja layanan, Anda mungkin masuk secara otomatis dengan sedikit informasi pribadi, atau Anda mungkin melihat permintaan untuk memberikan akses aplikasi ke beberapa akun Anda. Anda bahkan mungkin dapat memilih informasi apa yang ingin Anda berikan akses aplikasinya.
Setelah Anda memberikan akses aplikasi, itu selesai. Layanan yang Anda pilih akan memberikan kode akses unik. Ini menyimpan token ini dan menggunakannya untuk mengakses detail ini tentang akun Anda di masa mendatang. Bergantung pada aplikasinya, ini hanya dapat digunakan untuk mengautentikasi Anda saat Anda masuk, atau untuk mengakses akun Anda secara otomatis dan melakukan berbagai hal di latar belakang. Misalnya, aplikasi pihak ketiga yang memindai akun Gmail Anda dapat mengakses email Anda secara teratur sehingga dapat mengirimi Anda pemberitahuan jika menemukan sesuatu.
Cara melihat dan mencabut akses dari aplikasi eksternal
Anda dapat melihat dan mengelola daftar situs web dan aplikasi pihak ketiga yang memiliki akses ke akun Anda di setiap situs web akun. Sebaiknya periksa ini dari waktu ke waktu, karena Anda mungkin pernah memberikan akses ke informasi pribadi Anda ke suatu layanan, berhenti menggunakannya, dan lupa bahwa layanan tersebut masih memiliki akses. Membatasi layanan yang dapat mengakses akun Anda dapat membantu mengamankannya dan data pribadi Anda.
Untuk informasi teknis yang lebih mendetail tentang penerapan OAuth, kunjungi Situs web OAuth .
