Se você usou o botão "Sign in with Facebook", ou concedeu a um terceiro acesso à sua conta do Twitter, você usou o OAuth. Ele também é usado pelo Google, Microsoft e LinkedIn, bem como por muitos outros provedores de contas. Essencialmente, o OAuth permite que você dê a um site acesso a algumas informações sobre sua conta sem fornecer a senha real da conta.
OAuth para fazer login
OAuth tem dois propósitos principais na web agora. Geralmente, é usado para criar uma conta e fazer login em um serviço online de maneira mais conveniente. Por exemplo, em vez de criar um novo nome de usuário e senha do Spotify, você pode clicar ou tocar em Sign in with Facebook. O serviço verifica quem você é no Facebook e cria uma nova conta para você. Quando você entrar neste serviço no futuro, verá que faz login com a mesma conta do Facebook e dá acesso à sua conta. Você não precisa configurar uma nova conta ou qualquer outra coisa - o Facebook autentica você em vez disso.
De qualquer forma, isso é completamente diferente de apenas fornecer ao serviço a senha da sua conta do Facebook. O serviço nunca obtém a senha da sua conta do Facebook ou acesso total à sua conta. Ele só pode exibir alguns detalhes pessoais limitados, como seu nome e endereço de e-mail. Ele não pode ver suas mensagens privadas ou postar em sua linha do tempo.
“Sign in with Twitter”, “Sign in with Google”, “Sign in with Microsoft”, “Sign in with LinkedIn” e outros botões semelhantes para outros sites funcionam da mesma forma,
OAuth para aplicativos de terceiros
O OAuth também é usado ao fornecer acesso de aplicativos de terceiros a contas como Twitter, Facebook, Google ou contas da Microsoft. Esses aplicativos de terceiros têm permissão para acessar partes de sua conta. No entanto, eles nunca obtêm a senha da sua conta. Cada aplicativo recebe um código de acesso exclusivo que limita o acesso à sua conta. Por exemplo, um aplicativo de Twitter de terceiros pode ter a capacidade de exibir apenas seus tweets, mas não postar novos. Este token de acesso exclusivo pode ser revogado no futuro e apenas esse aplicativo específico perderá o acesso à sua conta.
Como outro exemplo, você pode conceder a um aplicativo de terceiros acesso apenas aos seus e-mails do Gmail, mas impedi-lo de fazer qualquer outra coisa com sua conta do Google.
Isso é bem diferente do que apenas fornecer a senha da sua conta a um aplicativo de terceiros e permitir que ele faça login. Os aplicativos são limitados no que podem fazer e este token de acesso exclusivo significa que você pode revogar o acesso à conta a qualquer momento, sem alterar a senha da conta principal e sem revogar o acesso de outros aplicativos.
Como funciona o OAuth?
Você provavelmente não verá a palavra "OAuth" ao usá-lo. Sites e aplicativos só solicitarão que você entre no Facebook, Twitter, Google, Microsoft, LinkedIn ou qualquer outro tipo de conta.
Ao escolher uma conta, você será direcionado ao site do provedor da conta, onde deverá fazer o login com essa conta, caso ainda não esteja conectado. Se você estiver conectado - ótimo! Você nem mesmo precisa inserir uma senha.
Certifique-se de ser realmente direcionado para o Facebook, Twitter, Google, Microsoft, LinkedIn ou qualquer outro site de serviço com uma conexão HTTPS segura antes de digitar a senha! Esta parte do processo parece estar pronta para phishing, em que sites mal-intencionados podem alegar ser o verdadeiro site de serviço na tentativa de capturar sua senha.
Dependendo de como o serviço funciona, você pode ser conectado automaticamente com poucas informações pessoais ou pode ver um prompt para permitir que o aplicativo acesse parte de sua conta. Você pode até escolher a quais informações deseja conceder acesso ao aplicativo.
Depois de conceder acesso ao aplicativo, está feito. O serviço que você escolher fornecerá um código de acesso exclusivo. Ele armazena esse token e o usa para acessar esses detalhes sobre sua conta no futuro. Dependendo do aplicativo, isso só pode ser usado para autenticá-lo ao fazer login ou para acessar automaticamente sua conta e fazer coisas em segundo plano. Por exemplo, um aplicativo de terceiros que verifica sua conta do Gmail pode acessar regularmente seus e-mails para que possa enviar uma notificação se encontrar algo.
Como visualizar e revogar o acesso de aplicativos externos
Você pode visualizar e gerenciar a lista de sites e aplicativos de terceiros que têm acesso à sua conta no site de cada conta. É uma boa ideia verificar isso de vez em quando, pois você pode ter dado acesso às suas informações pessoais a um serviço, parou de usá-lo e esqueceu que esse serviço ainda tem acesso. Restringir os serviços que podem acessar sua conta pode ajudar a protegê-la e aos seus dados privados.
Para obter informações técnicas mais detalhadas sobre a implementação do OAuth, visite Site OAuth .