Kung ginamit mo ang pindutang "Mag-sign in gamit ang Facebook", o naibigay ang isang third party na pag-access sa iyong Twitter account, gumamit ka ng OAuth. Ginagamit din ito ng Google, Microsoft, at LinkedIn, pati na rin maraming iba pang mga provider ng account. Mahalaga, pinapayagan ka ng OAuth na bigyan ang isang website ng access sa ilang impormasyon tungkol sa iyong account nang hindi binibigyan ito ng iyong aktwal na password ng account.
OAuth upang mag-login
Ang OAuth ay may dalawang pangunahing layunin sa web ngayon. Ito ay madalas na ginagamit upang lumikha ng isang account at mag-log in sa isang online na serbisyo nang mas maginhawa. Halimbawa, sa halip na lumikha ng isang bagong Spotify username at password, maaari kang mag-click o mag-tap sa Mag-sign in gamit ang Facebook. Sinusuri ng serbisyo upang makita kung sino ka sa Facebook at lumikha ng isang bagong account para sa iyo. Kapag nag-log in ka sa serbisyong ito sa hinaharap, makikita mo na nag-log in ka sa parehong Facebook account at bibigyan ka ng access sa iyong account. Hindi mo kailangang mag-set up ng isang bagong account o anumang bagay - Sa halip ay pinatutunayan ka ng Facebook.
Ito ay ganap na naiiba kaysa sa pagbibigay lamang sa serbisyo ng iyong password sa Facebook account, gayon pa man. Hindi kailanman nakukuha ng serbisyo ang iyong password sa Facebook account o buong pag-access sa iyong account. Maaari lamang itong ipakita ang ilang mga limitadong personal na detalye, tulad ng iyong pangalan at email address. Hindi nito matingnan ang iyong mga pribadong mensahe o mai-post sa iyong timeline.
"Mag-sign in gamit ang Twitter", "Mag-sign in sa Google", "Mag-sign in sa Microsoft", "Mag-sign in sa LinkedIn" at iba pang katulad na mga pindutan para sa iba pang mga website na gumagana sa parehong paraan,
OAuth para sa mga third-party na app
Ginagamit din ang OAuth kapag nagbibigay ng mga application ng third-party ng access sa mga account tulad ng Twitter, Facebook, Google, o mga Microsoft account. Pinapayagan ang mga application ng third party na mag-access ng mga bahagi ng iyong account. Gayunpaman, hindi nila nakuha ang password ng iyong account. Ang bawat app ay nakakakuha ng isang natatanging access code na naglilimita sa pag-access sa iyong account. Halimbawa, ang isang third-party na Twitter app ay maaaring may kakayahang ipakita lamang ang iyong mga tweet, ngunit hindi mag-post ng mga bago. Ang natatanging token sa pag-access na ito ay maaaring bawiin sa hinaharap, at tanging ang tukoy na app na iyon ang mawawalan ng access sa iyong account.
Bilang isa pang halimbawa, maaari kang magbigay ng isang third-party na app ng pag-access lamang sa iyong mga email sa Gmail, ngunit paghigpitan ito mula sa paggawa ng anupaman sa iyong Google account.
Ito ay lubos na naiiba kaysa sa pagbibigay lamang ng isang third party app ng iyong account password at hinayaan itong mag-log in. Limitado ang mga app sa kung ano ang maaari nilang gawin, at ang natatanging token ng pag-access na ito ay nangangahulugang maaari mong bawiin ang pag-access ng account sa anumang oras nang hindi binabago ang iyong pangunahing password sa account at hindi binabawi ang pag-access mula sa iba pang mga app.
Paano gumagana ang OAuth?
Marahil ay hindi mo makikita ang salitang "OAuth" kapag ginamit mo ito. Hihilingin lamang sa iyo ng mga website at app na mag-sign in gamit ang Facebook, Twitter, Google, Microsoft, LinkedIn, o anumang iba pang uri ng account.
Kapag pumili ka ng isang account, ididirekta ka sa website ng provider ng account, kung saan kakailanganin kang mag-log in sa account na iyon kung hindi ka kasalukuyang naka-log in. Kung naka-log in ka - mahusay! Hindi mo rin kailangang maglagay ng isang password.
Tiyaking nakadirekta ka talaga sa Facebook, Twitter, Google, Microsoft, LinkedIn o anumang iba pang website ng serbisyo na may isang ligtas na koneksyon sa HTTPS bago mo i-type ang password! Ang bahaging ito ng proseso ay lilitaw na handa na sa phishing, kung saan maaaring masabing ang mga nakakahamak na website ang tunay na site ng serbisyo sa pagtatangka na makuha ang iyong password.
Nakasalalay sa kung paano gumagana ang serbisyo, maaari kang awtomatikong naka-sign in na may kaunting personal na impormasyon, o maaari kang makakita ng isang prompt upang bigyan ang app ng access sa ilan sa iyong account. Maaari mo ring mapili kung anong impormasyon ang nais mong bigyan ang access sa app.
Kapag binigyan mo na ang pag-access ng app, tapos na ito. Ang serbisyong pipiliin mo ay magbibigay ng isang natatanging code ng pag-access. Iniimbak nito ang token na ito at ginagamit ito upang ma-access ang mga detalyeng ito tungkol sa iyong account sa hinaharap. Nakasalalay sa app, maaari lamang itong magamit upang mapatunayan ka kapag nag-sign in ka, o upang awtomatikong ma-access ang iyong account at gawin ang mga bagay sa background. Halimbawa
Paano tingnan at bawiin ang pag-access mula sa mga panlabas na app
Maaari mong tingnan at pamahalaan ang listahan ng mga third-party na website at app na may access sa iyong account sa website ng bawat account. Magandang ideya na suriin ang mga ito paminsan-minsan, dahil maaaring minsan ay nabigyan mo ng access ang iyong personal na impormasyon sa isang serbisyo, tumigil sa paggamit nito, at nakalimutan na ang serbisyo na iyon ay may access pa rin. Ang paghihigpit sa mga serbisyong maaaring ma-access ang iyong account ay maaaring makatulong na ma-secure ito at ang iyong pribadong data.
Para sa mas detalyadong impormasyong panteknikal sa pagpapatupad ng OAuth, bisitahin Website ng OAuth .
