Als je de knop "Aanmelden met Facebook" hebt gebruikt, of een derde partij toegang hebt gegeven tot je Twitter-account, heb je OAuth gebruikt. Het wordt ook gebruikt door Google, Microsoft en LinkedIn, evenals vele andere accountproviders. In wezen stelt OAuth u in staat om een website toegang te geven tot bepaalde informatie over uw account zonder uw daadwerkelijke accountwachtwoord te geven.
OAuth om in te loggen
OAuth heeft momenteel twee hoofddoelen op internet. Het wordt vaak gebruikt om een account aan te maken en gemakkelijker in te loggen bij een online dienst. In plaats van bijvoorbeeld een nieuwe Spotify-gebruikersnaam en -wachtwoord aan te maken, kunt u klikken of tikken op Aanmelden met Facebook. De dienst controleert wie je bent op Facebook en maakt een nieuw account voor je aan. Wanneer u in de toekomst inlogt op deze dienst, ziet u dat u inlogt met hetzelfde Facebook-account en u toegang geeft tot uw account. U hoeft geen nieuw account of iets anders in te stellen - Facebook authenticeert u in plaats daarvan.
Dit is toch iets heel anders dan alleen het wachtwoord van je Facebook-account aan de service geven. De service krijgt nooit het wachtwoord van uw Facebook-account of volledige toegang tot uw account. Het kan slechts enkele beperkte persoonlijke gegevens weergeven, zoals uw naam en e-mailadres. Het kan uw privéberichten niet bekijken of op uw tijdlijn plaatsen.
"Aanmelden met Twitter", "Aanmelden met Google", "Aanmelden met Microsoft", "Aanmelden met LinkedIn" en andere vergelijkbare knoppen voor andere websites werken op dezelfde manier,
OAuth voor apps van derden
OAuth wordt ook gebruikt wanneer applicaties van derden toegang krijgen tot accounts zoals Twitter-, Facebook-, Google- of Microsoft-accounts. Deze applicaties van derden hebben toegang tot delen van uw account. Ze krijgen echter nooit uw accountwachtwoord. Elke app krijgt een unieke toegangscode die de toegang tot uw account beperkt. Een Twitter-app van derden kan bijvoorbeeld alleen uw tweets weergeven, maar geen nieuwe posten. Dit unieke toegangstoken kan in de toekomst worden ingetrokken en alleen die specifieke app verliest de toegang tot uw account.
Een ander voorbeeld is dat u een app van derden alleen toegang kunt geven tot uw Gmail-e-mails, maar deze kunt beperken tot iets anders met uw Google-account.
Dit is heel anders dan alleen een app van een derde partij uw accountwachtwoord geven en laten inloggen. Apps zijn beperkt in wat ze kunnen doen, en dit unieke toegangstoken betekent dat je accounttoegang op elk moment kunt intrekken zonder het wachtwoord van je hoofdaccount te wijzigen en zonder de toegang van andere apps in te trekken.
Hoe werkt OAuth?
U zult het woord "OAuth" waarschijnlijk niet zien wanneer u het gebruikt. Websites en apps vragen je alleen om in te loggen met Facebook, Twitter, Google, Microsoft, LinkedIn of een ander type account.
Wanneer u een account kiest, wordt u doorverwezen naar de website van de accountprovider, waar u met dat account moet inloggen als u momenteel niet bent ingelogd. Als je bent ingelogd - geweldig! Je hoeft niet eens een wachtwoord in te voeren.
Zorg ervoor dat u daadwerkelijk wordt doorverwezen naar Facebook, Twitter, Google, Microsoft, LinkedIn of een andere servicewebsite met een beveiligde HTTPS-verbinding voordat u het wachtwoord typt! Dit deel van het proces lijkt klaar voor phishing, waarbij kwaadwillende websites kunnen beweren de echte servicesite te zijn in een poging uw wachtwoord te achterhalen.
Afhankelijk van hoe de service werkt, wordt u mogelijk automatisch aangemeld met weinig persoonlijke informatie, of ziet u mogelijk een prompt om de app toegang te geven tot een deel van uw account. Mogelijk kunt u zelfs kiezen tot welke informatie u de app toegang wilt geven.
Zodra u de app toegang verleent, is het klaar. De service die u kiest, levert een unieke toegangscode op. Het slaat dit token op en gebruikt het om in de toekomst toegang te krijgen tot deze details over uw account. Afhankelijk van de app kan dit alleen worden gebruikt om u te authenticeren wanneer u zich aanmeldt, of om automatisch toegang te krijgen tot uw account en dingen op de achtergrond te doen. Een app van derden die uw Gmail-account scant, kan bijvoorbeeld regelmatig toegang krijgen tot uw e-mails, zodat deze u een melding kan sturen als er iets wordt gevonden.
Toegang van externe apps bekijken en intrekken
U kunt de lijst met websites en apps van derden die toegang hebben tot uw account op de website van elk account bekijken en beheren. Het is een goed idee om deze van tijd tot tijd te controleren, aangezien u ooit toegang hebt gegeven tot uw persoonlijke gegevens tot een dienst, deze niet meer gebruikt en bent vergeten dat die dienst nog steeds toegang heeft. Door de services die toegang hebben tot uw account te beperken, kunnen deze en uw privégegevens worden beveiligd.
Ga voor meer gedetailleerde technische informatie over het implementeren van OAuth naar OAuth-website .
