Jeśli użyłeś przycisku „Zaloguj się przez Facebooka” lub udzieliłeś dostępu do swojego konta na Twitterze osobie trzeciej, użyłeś OAuth. Jest również używany przez Google, Microsoft i LinkedIn, a także wielu innych dostawców kont. Zasadniczo protokół OAuth umożliwia udostępnienie witrynie internetowej niektórych informacji o koncie bez podawania rzeczywistego hasła do konta.
OAuth do logowania
OAuth ma obecnie dwa główne cele w sieci. Często służy do zakładania konta i wygodniejszego logowania się do serwisu internetowego. Na przykład, zamiast tworzyć nową nazwę użytkownika i hasło Spotify, możesz kliknąć lub dotknąć Zaloguj się przez Facebooka. Usługa sprawdza, kim jesteś na Facebooku i tworzy dla Ciebie nowe konto. Gdy w przyszłości zalogujesz się do tej usługi, zobaczysz, że logujesz się tym samym kontem na Facebooku i dajesz dostęp do swojego konta. Nie musisz zakładać nowego konta ani niczego innego - zamiast tego uwierzytelnia Cię Facebook.
W każdym razie jest to zupełnie inne niż tylko podanie usługi hasła do konta na Facebooku. Usługa nigdy nie otrzyma hasła do konta na Facebooku ani pełnego dostępu do Twojego konta. Może wyświetlać tylko niektóre ograniczone dane osobowe, takie jak imię i nazwisko oraz adres e-mail. Nie może wyświetlać Twoich prywatnych wiadomości ani publikować na Twojej osi czasu.
„Zaloguj się przez Twitter”, „Zaloguj się przez Google”, „Zaloguj się przez Microsoft”, „Zaloguj się przez LinkedIn” i inne podobne przyciski dla innych witryn działają w ten sam sposób,
OAuth dla aplikacji innych firm
OAuth jest również używany podczas udzielania aplikacjom innych firm dostępu do kont takich jak Twitter, Facebook, Google czy Microsoft. Te aplikacje stron trzecich mogą uzyskiwać dostęp do części Twojego konta. Jednak nigdy nie otrzymają hasła do Twojego konta. Każda aplikacja otrzymuje unikalny kod dostępu, który ogranicza dostęp do Twojego konta. Na przykład aplikacja Twitter innej firmy może mieć możliwość wyświetlania tylko Twoich tweetów, ale nie publikowania nowych. Ten unikalny token dostępu można unieważnić w przyszłości i tylko ta konkretna aplikacja utraci dostęp do Twojego konta.
Jako inny przykład możesz przyznać aplikacji innej firmy dostęp tylko do swoich e-maili z Gmaila, ale ogranicz jej wykonywanie innych czynności na swoim koncie Google.
Jest to zupełnie inne niż tylko podanie aplikacji innej firmy hasła do konta i pozwolenie jej na zalogowanie. Aplikacje mają ograniczone możliwości, a ten unikalny token dostępu oznacza, że możesz odwołać dostęp do konta w dowolnym momencie bez zmiany hasła do konta głównego i bez odwoływania dostępu innym aplikacjom.
Jak działa OAuth?
Prawdopodobnie nie zobaczysz słowa „OAuth”, gdy go użyjesz. Witryny i aplikacje poproszą Cię o zalogowanie się za pomocą Facebooka, Twittera, Google, Microsoft, LinkedIn lub dowolnego innego typu konta.
Po wybraniu konta zostaniesz przekierowany na stronę dostawcy konta, gdzie będziesz musiał zalogować się na to konto, jeśli nie jesteś aktualnie zalogowany. Jeśli jesteś zalogowany - świetnie! Nie musisz nawet wpisywać hasła.
Przed wpisaniem hasła upewnij się, że faktycznie jesteś przekierowany do Facebooka, Twittera, Google, Microsoft, LinkedIn lub innej witryny usługowej z bezpiecznym połączeniem HTTPS! Wygląda na to, że ta część procesu jest gotowa do phishingu, w którym złośliwe witryny mogą twierdzić, że są prawdziwą witryną usługową, próbując przechwycić Twoje hasło.
W zależności od tego, jak działa usługa, możesz zostać automatycznie zalogowany z niewielką ilością danych osobowych lub możesz zobaczyć monit o przyznanie aplikacji dostępu do niektórych kont. Możesz nawet wybrać, do jakich informacji chcesz udostępnić aplikacji.
Gdy przyznasz aplikacji dostęp, gotowe. Wybrana usługa zapewni unikalny kod dostępu. Przechowuje ten token i używa go, aby w przyszłości uzyskać dostęp do tych informacji o Twoim koncie. W zależności od aplikacji może to być używane tylko do uwierzytelnienia Cię podczas logowania lub do automatycznego uzyskiwania dostępu do konta i wykonywania czynności w tle. Na przykład aplikacja innej firmy, która skanuje Twoje konto Gmail, może regularnie uzyskiwać dostęp do Twoich e-maili, aby wysłać Ci powiadomienie, jeśli coś znajdzie.
Jak wyświetlić i cofnąć dostęp z zewnętrznych aplikacji
Możesz wyświetlać listę witryn i aplikacji innych firm, które mają dostęp do Twojego konta, i zarządzać nimi w witrynie każdego konta. Dobrym pomysłem jest sprawdzanie ich od czasu do czasu, ponieważ mogłeś kiedyś dać dostęp do swoich danych osobowych w usłudze, przestałeś z niej korzystać i zapomniałeś, że ta usługa nadal ma dostęp. Ograniczenie usług, które mają dostęp do Twojego konta, może pomóc zabezpieczyć je i Twoje prywatne dane.
Aby uzyskać bardziej szczegółowe informacje techniczne na temat wdrażania protokołu OAuth, odwiedź Witryna OAuth .
