Nếu bạn đã sử dụng nút "Đăng nhập bằng Facebook" hoặc cấp cho bên thứ ba quyền truy cập vào tài khoản Twitter của mình, bạn đã sử dụng OAuth. Nó cũng được sử dụng bởi Google, Microsoft và LinkedIn, cũng như nhiều nhà cung cấp tài khoản khác. Về cơ bản, OAuth cho phép bạn cấp cho một trang web quyền truy cập vào một số thông tin về tài khoản của bạn mà không cần cung cấp mật khẩu tài khoản thực của bạn.
OAuth để đăng nhập
OAuth hiện có hai mục đích chính trên web. Nó thường được sử dụng để tạo tài khoản và đăng nhập vào dịch vụ trực tuyến thuận tiện hơn. Ví dụ: thay vì tạo tên người dùng và mật khẩu Spotify mới, bạn có thể nhấp hoặc nhấn vào Đăng nhập bằng Facebook. Dịch vụ kiểm tra xem bạn là ai trên Facebook và tạo tài khoản mới cho bạn. Khi bạn đăng nhập vào dịch vụ này trong tương lai, bạn sẽ thấy rằng bạn đăng nhập bằng cùng một tài khoản Facebook và cấp cho bạn quyền truy cập vào tài khoản của mình. Bạn không cần phải thiết lập tài khoản mới hay bất kỳ thứ gì khác - Facebook xác thực bạn.
Dù sao thì điều này hoàn toàn khác so với việc chỉ cung cấp mật khẩu tài khoản Facebook của bạn cho dịch vụ. Dịch vụ không bao giờ lấy được mật khẩu tài khoản Facebook của bạn hoặc toàn quyền truy cập vào tài khoản của bạn. Nó chỉ có thể hiển thị một số chi tiết cá nhân hạn chế, chẳng hạn như tên và địa chỉ email của bạn. Nó không thể xem tin nhắn riêng tư của bạn hoặc đăng lên dòng thời gian của bạn.
“Đăng nhập bằng Twitter”, “Đăng nhập bằng Google”, “Đăng nhập bằng Microsoft”, “Đăng nhập bằng LinkedIn” và các nút tương tự khác cho các trang web khác hoạt động theo cách tương tự,
OAuth cho các ứng dụng của bên thứ ba
OAuth cũng được sử dụng khi cấp cho các ứng dụng của bên thứ ba quyền truy cập vào các tài khoản như tài khoản Twitter, Facebook, Google hoặc Microsoft. Các ứng dụng của bên thứ ba này được phép truy cập vào các phần của tài khoản của bạn. Tuy nhiên, họ không bao giờ lấy được mật khẩu tài khoản của bạn. Mỗi ứng dụng có một mã truy cập duy nhất giới hạn quyền truy cập vào tài khoản của bạn. Ví dụ: ứng dụng Twitter của bên thứ ba có thể chỉ hiển thị các tweet của bạn, nhưng không đăng các tweet mới. Mã thông báo truy cập duy nhất này có thể bị thu hồi trong tương lai và chỉ ứng dụng cụ thể đó mới mất quyền truy cập vào tài khoản của bạn.
Ví dụ khác, bạn có thể chỉ cấp cho ứng dụng của bên thứ ba quyền truy cập vào email Gmail của bạn, nhưng hạn chế ứng dụng này làm bất kỳ điều gì khác với tài khoản Google của bạn.
Điều này hoàn toàn khác so với việc chỉ cung cấp cho ứng dụng của bên thứ ba mật khẩu tài khoản của bạn và để ứng dụng đó đăng nhập. Các ứng dụng bị hạn chế về những gì chúng có thể làm và mã thông báo truy cập duy nhất này có nghĩa là bạn có thể thu hồi quyền truy cập tài khoản bất kỳ lúc nào mà không cần thay đổi mật khẩu tài khoản chính của mình và không thu hồi quyền truy cập từ các ứng dụng khác.
OAuth hoạt động như thế nào?
Bạn có thể sẽ không thấy từ "OAuth" khi bạn sử dụng nó. Các trang web và ứng dụng sẽ chỉ yêu cầu bạn đăng nhập bằng Facebook, Twitter, Google, Microsoft, LinkedIn hoặc bất kỳ loại tài khoản nào khác.
Khi bạn chọn một tài khoản, bạn sẽ được dẫn đến trang web của nhà cung cấp tài khoản, nơi bạn sẽ phải đăng nhập bằng tài khoản đó nếu bạn hiện chưa đăng nhập. Nếu bạn đã đăng nhập - tuyệt vời! Bạn thậm chí không cần phải nhập mật khẩu.
Đảm bảo rằng bạn thực sự được chuyển hướng đến Facebook, Twitter, Google, Microsoft, LinkedIn hoặc bất kỳ trang web dịch vụ nào khác có kết nối HTTPS an toàn trước khi nhập mật khẩu! Phần này của quy trình dường như đã sẵn sàng để lừa đảo, trong đó các trang web độc hại có thể tự nhận là trang dịch vụ thực để cố gắng lấy mật khẩu của bạn.
Tùy thuộc vào cách dịch vụ hoạt động, bạn có thể tự động đăng nhập với ít thông tin cá nhân hoặc bạn có thể thấy lời nhắc cấp cho ứng dụng quyền truy cập vào một số tài khoản của bạn. Bạn thậm chí có thể chọn thông tin bạn muốn cấp cho ứng dụng.
Sau khi bạn cấp quyền truy cập ứng dụng, nó đã hoàn tất. Dịch vụ bạn chọn sẽ cung cấp một mã truy cập duy nhất. Nó lưu trữ mã thông báo này và sử dụng nó để truy cập các chi tiết này về tài khoản của bạn trong tương lai. Tùy thuộc vào ứng dụng, điều này chỉ có thể được sử dụng để xác thực bạn khi bạn đăng nhập hoặc để tự động truy cập vào tài khoản của bạn và thực hiện mọi việc trong nền. Ví dụ: một ứng dụng của bên thứ ba quét tài khoản Gmail của bạn có thể thường xuyên truy cập vào email của bạn để có thể gửi cho bạn thông báo nếu tìm thấy thứ gì đó.
Cách xem và thu hồi quyền truy cập từ các ứng dụng bên ngoài
Bạn có thể xem và quản lý danh sách các trang web và ứng dụng của bên thứ ba có quyền truy cập vào tài khoản của bạn trên mỗi trang web của tài khoản. Bạn nên kiểm tra những điều này theo thời gian, vì bạn có thể đã từng cấp quyền truy cập thông tin cá nhân của mình cho một dịch vụ, ngừng sử dụng và quên rằng dịch vụ đó vẫn có quyền truy cập. Hạn chế các dịch vụ có quyền truy cập vào tài khoản của bạn có thể giúp bảo mật tài khoản và dữ liệu cá nhân của bạn.
Để biết thêm thông tin kỹ thuật chi tiết về việc triển khai OAuth, hãy truy cập Trang web OAuth .
