หากคุณเคยใช้ปุ่ม "ลงชื่อเข้าใช้ด้วย Facebook" หรือให้สิทธิ์การเข้าถึงบัญชี Twitter ของคุณแก่บุคคลที่สาม แสดงว่าคุณได้ใช้ OAuth นอกจากนี้ยังใช้โดย Google, Microsoft และ LinkedIn รวมถึงผู้ให้บริการบัญชีรายอื่นๆ โดยพื้นฐานแล้ว OAuth อนุญาตให้คุณให้เว็บไซต์เข้าถึงข้อมูลบางอย่างเกี่ยวกับบัญชีของคุณโดยไม่ต้องให้รหัสผ่านบัญชีจริงแก่เว็บไซต์
OAuth เพื่อเข้าสู่ระบบ
OAuth มีวัตถุประสงค์หลักสองประการบนเว็บในขณะนี้ มักใช้เพื่อสร้างบัญชีและเข้าสู่ระบบบริการออนไลน์สะดวกยิ่งขึ้น ตัวอย่างเช่น แทนที่จะสร้างชื่อผู้ใช้และรหัสผ่าน Spotify ใหม่ คุณสามารถคลิกหรือแตะที่ลงชื่อเข้าใช้ด้วย Facebook บริการจะตรวจสอบเพื่อดูว่าคุณเป็นใครบน Facebook และสร้างบัญชีใหม่ให้กับคุณ เมื่อคุณลงชื่อเข้าใช้บริการนี้ในอนาคต คุณจะเห็นว่าคุณเข้าสู่ระบบด้วยบัญชี Facebook เดียวกันและให้สิทธิ์เข้าถึงบัญชีของคุณ คุณไม่จำเป็นต้องตั้งค่าบัญชีใหม่หรืออย่างอื่น - Facebook จะตรวจสอบสิทธิ์คุณแทน
สิ่งนี้แตกต่างอย่างสิ้นเชิงกับการให้รหัสผ่านบัญชี Facebook ของคุณกับบริการ บริการจะไม่ได้รับรหัสผ่านบัญชี Facebook ของคุณหรือเข้าถึงบัญชีของคุณได้อย่างเต็มที่ แสดงได้เฉพาะรายละเอียดส่วนบุคคลที่จำกัด เช่น ชื่อและที่อยู่อีเมลของคุณ ไม่สามารถดูข้อความส่วนตัวหรือโพสต์บนไทม์ไลน์ของคุณได้
“ลงชื่อเข้าใช้ด้วย Twitter”, “ลงชื่อเข้าใช้ด้วย Google”, “ลงชื่อเข้าใช้ด้วย Microsoft”, “ลงชื่อเข้าใช้ด้วย LinkedIn” และปุ่มอื่นๆ ที่คล้ายกันสำหรับเว็บไซต์อื่นทำงานในลักษณะเดียวกัน
OAuth สำหรับแอปของบุคคลที่สาม
OAuth ยังใช้เมื่อให้แอปพลิเคชันบุคคลที่สามเข้าถึงบัญชี เช่น บัญชี Twitter, Facebook, Google หรือ Microsoft แอปพลิเคชันบุคคลที่สามเหล่านี้ได้รับอนุญาตให้เข้าถึงบางส่วนของบัญชีของคุณ อย่างไรก็ตาม พวกเขาไม่เคยได้รับรหัสผ่านบัญชีของคุณ แต่ละแอปจะได้รับรหัสการเข้าถึงที่ไม่ซ้ำกันซึ่งจำกัดการเข้าถึงบัญชีของคุณ ตัวอย่างเช่น แอพ Twitter ของบริษัทอื่นอาจแสดงเฉพาะทวีตของคุณ แต่ไม่สามารถโพสต์ทวีตใหม่ได้ โทเค็นการเข้าถึงที่ไม่ซ้ำกันนี้สามารถเพิกถอนได้ในอนาคต และเฉพาะแอปนั้นเท่านั้นที่จะเข้าถึงบัญชีของคุณไม่ได้
อีกตัวอย่างหนึ่ง คุณอาจให้สิทธิ์แอปของบุคคลที่สามเข้าถึงเฉพาะอีเมล Gmail ของคุณ แต่จำกัดไม่ให้ทำอย่างอื่นกับบัญชี Google ของคุณ
สิ่งนี้ค่อนข้างแตกต่างจากการให้แอปบุคคลที่สามรหัสผ่านบัญชีของคุณและปล่อยให้มันเข้าสู่ระบบ แอพถูกจำกัดในสิ่งที่สามารถทำได้ และโทเค็นการเข้าถึงที่ไม่ซ้ำกันนี้หมายความว่าคุณสามารถเพิกถอนการเข้าถึงบัญชีได้ตลอดเวลาโดยไม่ต้องเปลี่ยนรหัสผ่านบัญชีหลักของคุณและไม่ต้องเพิกถอนการเข้าถึงจากแอพอื่น
OAuth ทำงานอย่างไร
คุณอาจไม่เห็นคำว่า "OAuth" เมื่อใช้งาน เว็บไซต์และแอพจะขอให้คุณลงชื่อเข้าใช้ด้วย Facebook, Twitter, Google, Microsoft, LinkedIn หรือบัญชีประเภทอื่น ๆ เท่านั้น
เมื่อคุณเลือกบัญชี คุณจะถูกนำไปยังเว็บไซต์ของผู้ให้บริการบัญชี ซึ่งคุณจะต้องเข้าสู่ระบบด้วยบัญชีนั้นหากคุณยังไม่ได้เข้าสู่ระบบ หากคุณเข้าสู่ระบบ - เยี่ยมมาก! คุณไม่จำเป็นต้องป้อนรหัสผ่าน
ตรวจสอบให้แน่ใจว่าคุณถูกนำไปยัง Facebook, Twitter, Google, Microsoft, LinkedIn หรือเว็บไซต์บริการอื่น ๆ ที่มีการเชื่อมต่อ HTTPS ที่ปลอดภัยจริง ๆ ก่อนที่คุณจะพิมพ์รหัสผ่าน! กระบวนการส่วนนี้ดูเหมือนจะพร้อมสำหรับการฟิชชิง โดยที่เว็บไซต์ที่เป็นอันตรายอาจอ้างว่าเป็นไซต์บริการจริงเพื่อพยายามดักจับรหัสผ่านของคุณ
คุณอาจลงชื่อเข้าใช้โดยอัตโนมัติด้วยข้อมูลส่วนบุคคลเพียงเล็กน้อย ทั้งนี้ขึ้นอยู่กับวิธีการทำงานของบริการ หรือคุณอาจเห็นข้อความแจ้งให้ให้สิทธิ์แอปเข้าถึงบัญชีของคุณบางส่วน คุณยังสามารถเลือกข้อมูลที่คุณต้องการให้แอปเข้าถึงได้
เมื่อคุณให้สิทธิ์การเข้าถึงแอป ก็เป็นอันเสร็จสิ้น บริการที่คุณเลือกจะให้รหัสการเข้าถึงที่ไม่ซ้ำกัน มันเก็บโทเค็นนี้และใช้เพื่อเข้าถึงรายละเอียดเหล่านี้เกี่ยวกับบัญชีของคุณในอนาคต ทั้งนี้ขึ้นอยู่กับแอป ข้อมูลนี้สามารถใช้เพื่อตรวจสอบสิทธิ์เมื่อคุณลงชื่อเข้าใช้ หรือเพื่อเข้าถึงบัญชีของคุณโดยอัตโนมัติและทำสิ่งต่างๆ ในเบื้องหลัง ตัวอย่างเช่น แอปของบุคคลที่สามที่สแกนบัญชี Gmail ของคุณอาจเข้าถึงอีเมลของคุณเป็นประจำ เพื่อส่งการแจ้งเตือนถึงคุณหากพบบางสิ่ง
วิธีดูและเพิกถอนการเข้าถึงจากแอปภายนอก
คุณสามารถดูและจัดการรายการเว็บไซต์และแอปของบุคคลที่สามที่มีสิทธิ์เข้าถึงบัญชีของคุณบนเว็บไซต์ของแต่ละบัญชี เป็นความคิดที่ดีที่จะตรวจสอบสิ่งเหล่านี้เป็นครั้งคราว เนื่องจากคุณอาจเคยให้การเข้าถึงข้อมูลส่วนบุคคลของคุณกับบริการ หยุดใช้งาน และลืมไปว่าบริการนั้นยังคงสามารถเข้าถึงได้ การจำกัดบริการที่สามารถเข้าถึงบัญชีของคุณสามารถช่วยรักษาความปลอดภัยและข้อมูลส่วนตัวของคุณได้
สำหรับข้อมูลทางเทคนิคโดยละเอียดเพิ่มเติมเกี่ยวกับการนำ OAuth ไปใช้ โปรดไปที่ เว็บไซต์ OAuth .