Se hai utilizzato il pulsante "Accedi con Facebook" o hai concesso a terzi l'accesso al tuo account Twitter, hai utilizzato OAuth. È utilizzato anche da Google, Microsoft e LinkedIn, così come da molti altri fornitori di account. In sostanza, OAuth ti consente di fornire a un sito Web l'accesso ad alcune informazioni sul tuo account senza fornirgli la password effettiva dell'account.
OAuth per accedere
OAuth ha due scopi principali sul Web in questo momento. Viene spesso utilizzato per creare un account e accedere a un servizio online in modo più conveniente. Ad esempio, invece di creare un nuovo nome utente e password Spotify, puoi fare clic o toccare Accedi con Facebook. Il servizio controlla chi sei su Facebook e crea un nuovo account per te. Quando accedi a questo servizio in futuro, vedrai che accedi con lo stesso account Facebook e ti concedi l'accesso al tuo account. Non è necessario configurare un nuovo account o altro: Facebook ti autentica.
Questo è completamente diverso dal semplice dare al servizio la password del tuo account Facebook, comunque. Il servizio non ottiene mai la password del tuo account Facebook o l'accesso completo al tuo account. Può visualizzare solo alcuni dettagli personali limitati, come il nome e l'indirizzo e-mail. Non può visualizzare i tuoi messaggi privati o postare sul tuo diario.
"Accedi con Twitter", "Accedi con Google", "Accedi con Microsoft", "Accedi con LinkedIn" e altri pulsanti simili per altri siti Web funzionano allo stesso modo,
OAuth per app di terze parti
OAuth viene utilizzato anche quando si concede ad applicazioni di terze parti l'accesso ad account come account Twitter, Facebook, Google o Microsoft. Queste applicazioni di terze parti sono autorizzate ad accedere a parti del tuo account. Tuttavia, non ottengono mai la password del tuo account. Ogni app riceve un codice di accesso univoco che limita l'accesso al tuo account. Ad esempio, un'app Twitter di terze parti potrebbe avere la capacità di visualizzare solo i tuoi tweet, ma non di pubblicarne di nuovi. Questo token di accesso univoco può essere revocato in futuro e solo quell'app specifica perderà l'accesso al tuo account.
Come altro esempio, potresti concedere a un'app di terze parti l'accesso solo alle tue e-mail di Gmail, ma impedirle di fare qualsiasi altra cosa con il tuo account Google.
Questo è molto diverso dal fornire a un'app di terze parti la password del tuo account e consentire l'accesso. Le app sono limitate in ciò che possono fare e questo token di accesso univoco significa che puoi revocare l'accesso all'account in qualsiasi momento senza modificare la password dell'account principale e senza revocare l'accesso da altre app.
Come funziona OAuth?
Probabilmente non vedrai la parola "OAuth" quando lo usi. I siti Web e le app ti chiederanno di accedere solo con Facebook, Twitter, Google, Microsoft, LinkedIn o qualsiasi altro tipo di account.
Quando scegli un account, verrai indirizzato al sito Web del fornitore dell'account, dove dovrai accedere con quell'account se non sei attualmente connesso. Se hai effettuato l'accesso, ottimo! Non devi nemmeno inserire una password.
Assicurati di essere effettivamente indirizzato a Facebook, Twitter, Google, Microsoft, LinkedIn o qualsiasi altro sito Web di servizi con una connessione HTTPS sicura prima di digitare la password! Questa parte del processo sembra essere pronta per il phishing, in cui i siti Web dannosi possono affermare di essere il vero sito di servizio nel tentativo di acquisire la tua password.
A seconda di come funziona il servizio, potresti essere connesso automaticamente con poche informazioni personali o potresti visualizzare una richiesta per consentire all'app di accedere ad alcuni dei tuoi account. Potresti anche essere in grado di scegliere a quali informazioni vuoi dare accesso all'app.
Una volta concesso l'accesso all'app, il gioco è fatto. Il servizio scelto fornirà un codice di accesso univoco. Memorizza questo token e lo utilizza per accedere a questi dettagli sul tuo account in futuro. A seconda dell'app, questo può essere utilizzato solo per autenticarti quando accedi o per accedere automaticamente al tuo account e fare cose in background. Ad esempio, un'app di terze parti che esegue la scansione del tuo account Gmail può accedere regolarmente alle tue e-mail in modo da inviarti una notifica se trova qualcosa.
Come visualizzare e revocare l'accesso da app esterne
Puoi visualizzare e gestire l'elenco di siti Web e app di terze parti che hanno accesso al tuo account sul sito Web di ciascun account. È una buona idea controllarli di tanto in tanto, poiché una volta potresti aver dato accesso alle tue informazioni personali a un servizio, aver smesso di utilizzarlo e aver dimenticato che quel servizio ha ancora accesso. Limitare i servizi che possono accedere al tuo account può aiutare a proteggere lo stesso e i tuoi dati privati.
Per informazioni tecniche più dettagliate sull'implementazione di OAuth, visita Sito Web OAuth .
