Sekiranya anda telah menggunakan butang "Log masuk dengan Facebook", atau memberikan akses pihak ketiga ke akaun Twitter anda, anda telah menggunakan OAuth. Ini juga digunakan oleh Google, Microsoft, dan LinkedIn, serta banyak penyedia akaun lain. Pada dasarnya, OAuth membolehkan anda memberi laman web akses ke beberapa maklumat mengenai akaun anda tanpa memberikan kata laluan akaun anda yang sebenarnya.
OAuth untuk log masuk
OAuth mempunyai dua tujuan utama di web sekarang. Ia sering digunakan untuk membuat akaun dan log masuk ke perkhidmatan dalam talian dengan lebih mudah. Sebagai contoh, daripada membuat nama pengguna dan kata laluan Spotify baru, anda boleh mengklik atau mengetuk Log masuk dengan Facebook. Perkhidmatan memeriksa untuk melihat siapa anda di Facebook dan membuat akaun baru untuk anda. Apabila anda log masuk ke perkhidmatan ini pada masa akan datang, anda akan melihat bahawa anda log masuk dengan akaun Facebook yang sama dan memberi anda akses ke akaun anda. Anda tidak perlu menyediakan akaun baru atau yang lain - Facebook mengesahkan anda.
Ini sama sekali berbeza daripada memberikan kata laluan akaun Facebook anda kepada perkhidmatan itu. Perkhidmatan ini tidak pernah mendapat kata laluan akaun Facebook anda atau akses penuh ke akaun anda. Ia hanya dapat memaparkan beberapa maklumat peribadi terhad, seperti nama dan alamat e-mel anda. Ia tidak dapat melihat mesej peribadi anda atau menghantar ke garis masa anda.
"Log masuk dengan Twitter", "Log masuk dengan Google", "Log masuk dengan Microsoft", "Log masuk dengan LinkedIn" dan butang lain yang serupa untuk laman web lain berfungsi dengan cara yang sama,
OAuth untuk aplikasi pihak ketiga
OAuth juga digunakan ketika memberikan aplikasi pihak ketiga akses ke akaun seperti akun Twitter, Facebook, Google, atau Microsoft. Aplikasi pihak ketiga ini dibenarkan mengakses bahagian akaun anda. Namun, mereka tidak pernah mendapatkan kata laluan akaun anda. Setiap aplikasi mendapat kod akses unik yang menghadkan akses ke akaun anda. Sebagai contoh, aplikasi Twitter pihak ketiga mungkin mempunyai kemampuan untuk hanya memaparkan tweet anda, tetapi tidak menyiarkan yang baru. Token akses unik ini dapat dibatalkan pada masa akan datang, dan hanya aplikasi tertentu yang akan kehilangan akses ke akaun anda.
Sebagai contoh lain, anda mungkin memberikan akses kepada pihak ketiga hanya ke e-mel Gmail anda, tetapi menyekatnya daripada melakukan perkara lain dengan akaun Google anda.
Ini sangat berbeza daripada hanya memberikan kata laluan akaun anda kepada aplikasi pihak ketiga dan membiarkannya masuk. Aplikasi terhad dalam apa yang dapat mereka lakukan, dan token akses unik ini bermaksud anda boleh mencabut akses akaun pada bila-bila masa tanpa menukar kata laluan akaun utama anda dan tanpa mencabut akses dari aplikasi lain.
Bagaimana OAuth berfungsi?
Anda mungkin tidak akan melihat perkataan "OAuth" semasa anda menggunakannya. Laman web dan aplikasi hanya akan meminta anda masuk dengan Facebook, Twitter, Google, Microsoft, LinkedIn, atau jenis akaun lain.
Apabila anda memilih akaun, anda akan diarahkan ke laman web penyedia akaun, di mana anda perlu log masuk dengan akaun tersebut jika anda belum masuk. Sekiranya anda log masuk - hebat! Anda bahkan tidak perlu memasukkan kata laluan.
Pastikan anda benar-benar diarahkan ke Facebook, Twitter, Google, Microsoft, LinkedIn atau laman web perkhidmatan lain dengan sambungan HTTPS yang selamat sebelum anda menaip kata laluan! Bahagian proses ini nampaknya sudah siap untuk pancingan data, di mana laman web yang berniat jahat boleh mengaku sebagai laman web perkhidmatan sebenar dalam usaha untuk menangkap kata laluan anda.
Bergantung pada cara perkhidmatan ini berfungsi, anda mungkin masuk secara automatik dengan sedikit maklumat peribadi, atau anda mungkin melihat permintaan untuk memberi aplikasi akses ke beberapa akaun anda. Anda mungkin dapat memilih maklumat apa yang ingin anda berikan kepada aplikasi.
Sebaik sahaja anda memberi akses kepada aplikasi, itu akan selesai. Perkhidmatan yang anda pilih akan memberikan kod akses yang unik. Ia menyimpan token ini dan menggunakannya untuk mengakses butiran mengenai akaun anda pada masa akan datang. Bergantung pada aplikasi, ini hanya dapat digunakan untuk mengesahkan anda semasa anda masuk, atau untuk mengakses akaun anda secara automatik dan melakukan perkara di latar belakang. Contohnya, aplikasi pihak ketiga yang mengimbas akaun Gmail anda dapat mengakses e-mel anda secara berkala sehingga dapat mengirimkan pemberitahuan kepada anda jika terdapat sesuatu.
Cara melihat dan mencabut akses dari aplikasi luaran
Anda dapat melihat dan mengurus senarai laman web dan aplikasi pihak ketiga yang mempunyai akses ke akaun anda di laman web setiap akaun. Adalah idea yang baik untuk memeriksanya dari semasa ke semasa, kerana anda mungkin pernah memberikan akses ke maklumat peribadi anda ke perkhidmatan, berhenti menggunakannya, dan lupa bahawa perkhidmatan tersebut masih mempunyai akses. Mengehadkan perkhidmatan yang dapat mengakses akaun anda dapat membantu melindungi dan data peribadi anda.
Untuk maklumat teknikal yang lebih terperinci mengenai pelaksanaan OAuth, lawati Laman web OAuth .
