Hvis du har brukt "Logg på med Facebook" -knappen, eller har gitt en tredjepart tilgang til Twitter -kontoen din, har du brukt OAuth. Den brukes også av Google, Microsoft og LinkedIn, i tillegg til mange andre kontoleverandører. I hovedsak lar OAuth deg gi et nettsted tilgang til informasjon om kontoen din uten å gi det ditt faktiske kontopassord.
OAuth for å logge inn
OAuth har to hovedformål på nettet akkurat nå. Den brukes ofte til å opprette en konto og logge på en online -tjeneste på en mer praktisk måte. For eksempel, i stedet for å opprette et nytt Spotify brukernavn og passord, kan du klikke eller trykke på Logg på med Facebook. Tjenesten sjekker for å se hvem du er på Facebook og oppretter en ny konto for deg. Når du logger deg på denne tjenesten i fremtiden, vil du se at du logger inn med den samme Facebook -kontoen og gir deg tilgang til kontoen din. Du trenger ikke å opprette en ny konto eller noe annet - Facebook autentiserer deg i stedet.
Dette er helt annerledes enn å bare gi tjenesten ditt Facebook -kontopassord, uansett. Tjenesten får aldri passordet til Facebook -kontoen din eller full tilgang til kontoen din. Den kan bare vise noen begrensede personlige detaljer, for eksempel navn og e -postadresse. Den kan ikke se dine private meldinger eller legge ut på tidslinjen din.
"Logg på med Twitter", "Logg på med Google", "Logg på med Microsoft", "Logg på med LinkedIn" og andre lignende knapper for andre nettsteder fungerer på samme måte,
OAuth for tredjepartsapper
OAuth brukes også når tredjepartsprogrammer får tilgang til kontoer som Twitter, Facebook, Google eller Microsoft-kontoer. Disse tredjepartsprogrammene har tilgang til deler av kontoen din. Imidlertid får de aldri kontopassordet ditt. Hver app får en unik tilgangskode som begrenser tilgangen til kontoen din. For eksempel kan en tredjeparts Twitter-app bare ha mulighet til å vise tweets, men ikke legge ut nye. Dette unike tilgangstokenet kan oppheves i fremtiden, og bare den spesifikke appen mister tilgangen til kontoen din.
Som et annet eksempel kan du bare gi en tredjepartsapp tilgang til Gmail-e-postene dine, men begrense den fra å gjøre noe annet med Google-kontoen din.
Dette er ganske annerledes enn å bare gi en tredjepartsapp ditt kontopassord og la det logge inn. Apper er begrenset i hva de kan gjøre, og dette unike tilgangstokenet betyr at du når som helst kan tilbakekalle kontotilgang uten å endre hovedkontopassordet og uten å tilbakekalle tilgang fra andre apper.
Hvordan fungerer OAuth?
Du vil sannsynligvis ikke se ordet "OAuth" når du bruker det. Nettsteder og apper ber deg bare om å logge på med Facebook, Twitter, Google, Microsoft, LinkedIn eller en annen type konto.
Når du velger en konto, blir du ledet til kontoleverandørens nettsted, der du må logge deg på med den kontoen hvis du ikke er logget inn for øyeblikket. Hvis du er logget inn - flott! Du trenger ikke engang skrive inn et passord.
Sørg for at du faktisk blir videresendt til Facebook, Twitter, Google, Microsoft, LinkedIn eller et annet nettsted med en sikker HTTPS -tilkobling før du skriver passordet! Denne delen av prosessen ser ut til å være klar for nettfisking, der ondsinnede nettsteder kan hevde å være det virkelige tjenestestedet i et forsøk på å fange passordet ditt.
Avhengig av hvordan tjenesten fungerer, kan du automatisk logge på med lite personlig informasjon, eller du kan se en melding om å gi appen tilgang til noen av kontoen din. Du kan til og med velge hvilken informasjon du vil gi appen tilgang til.
Når du gir appen tilgang, er den ferdig. Tjenesten du velger gir en unik tilgangskode. Den lagrer dette tokenet og bruker det til å få tilgang til disse detaljene om kontoen din i fremtiden. Avhengig av appen kan denne bare brukes til å autentisere deg når du logger på, eller for å automatisk få tilgang til kontoen din og gjøre ting i bakgrunnen. For eksempel kan en tredjepartsapp som skanner Gmail-kontoen din regelmessig få tilgang til e-postene dine slik at den kan sende deg et varsel hvis den finner noe.
Slik viser og tilbakekaller du tilgang fra eksterne apper
Du kan se og administrere listen over tredjeparts nettsteder og apper som har tilgang til kontoen din på hver kontos nettsted. Det er en god idé å sjekke disse av og til, ettersom du en gang kan ha gitt tilgang til dine personlige opplysninger til en tjeneste, sluttet å bruke den og glemt at den tjenesten fortsatt har tilgang. Begrensning av tjenestene som har tilgang til kontoen din kan bidra til å sikre den og dine private data.
For mer detaljert teknisk informasjon om implementering av OAuth, besøk OAuth -nettsted .
