如果您使用了“使用 Facebook 登录”按钮,或已授予第三方访问您的 Twitter 帐户的权限,则您已使用 OAuth。 Google、Microsoft 和 LinkedIn 以及许多其他帐户提供商也使用它。 从本质上讲,OAuth 允许您让网站访问有关您帐户的某些信息,而无需提供您的实际帐户密码。
OAuth登录
OAuth 目前在网络上有两个主要用途。 它通常用于创建帐户并更方便地登录在线服务。 例如,您可以单击或点击使用 Facebook 登录,而不是创建新的 Spotify 用户名和密码。 该服务会检查您在 Facebook 上的身份并为您创建一个新帐户。 当您以后登录此服务时,您将看到您使用相同的 Facebook 帐户登录并授予您对帐户的访问权限。 您无需设置新帐户或其他任何内容 - Facebook 会改为对您进行身份验证。
无论如何,这与仅向服务提供您的 Facebook 帐户密码完全不同。 该服务永远不会获取您的 Facebook 帐户密码或对您帐户的完全访问权限。 它只能显示一些有限的个人详细信息,例如您的姓名和电子邮件地址。 它无法查看您的私人消息或发布到您的时间线。
“使用 Twitter 登录”、“使用 Google 登录”、“使用 Microsoft 登录”、“使用 LinkedIn 登录”以及其他网站的其他类似按钮的工作方式相同,
第三方应用的 OAuth
OAuth 也用于授予第三方应用程序访问 Twitter、Facebook、Google 或 Microsoft 帐户等帐户的权限。 这些第三方应用程序被允许访问您帐户的部分内容。 但是,他们永远不会获得您的帐户密码。 每个应用程序都有一个唯一的访问代码,用于限制对您帐户的访问。 例如,第三方 Twitter 应用程序可能只能显示您的推文,而不能发布新推文。 这个唯一的访问令牌可以在未来被撤销,只有那个特定的应用程序才会失去对您帐户的访问权限。
再举一个例子,您可能只允许第三方应用访问您的 Gmail 电子邮件,但限制它使用您的 Google 帐户执行任何其他操作。
这与仅将您的帐户密码提供给第三方应用程序并让它登录完全不同。 应用程序的功能有限,而这种独特的访问令牌意味着您可以随时撤销帐户访问权限,而无需更改主帐户密码,也无需撤销其他应用程序的访问权限。
OAuth 是如何工作的?
当您使用它时,您可能不会看到“OAuth”这个词。 网站和应用程序只会要求您使用 Facebook、Twitter、Google、Microsoft、LinkedIn 或任何其他类型的帐户登录。
当您选择一个帐户时,您将被定向到帐户提供商的网站,如果您当前未登录,则必须使用该帐户登录。 如果您已登录 - 太好了! 您甚至不必输入密码。
在输入密码之前,请确保您确实被定向到 Facebook、Twitter、Google、Microsoft、LinkedIn 或任何其他具有安全 HTTPS 连接的服务网站! 该过程的这一部分似乎已准备好进行网络钓鱼,恶意网站可能会声称自己是真正的服务站点,以试图获取您的密码。
根据服务的工作方式,您可能会自动登录,但个人信息很少,或者您可能会看到提示,让应用访问您的某些帐户。 您甚至可以选择要授予应用访问权限的信息。
一旦您授予应用程序访问权限,就完成了。 您选择的服务会为网站或应用程序提供唯一的访问代码。 它存储此令牌并在将来使用它来访问有关您帐户的这些详细信息。 根据应用程序,这只能用于在您登录时对您进行身份验证,或自动访问您的帐户并在后台执行操作。 例如,扫描您 Gmail 帐户的第三方应用可能会定期访问您的电子邮件,以便在发现某些内容时向您发送通知。
如何查看和撤消外部应用程序的访问权限
您可以在每个帐户的网站上查看和管理有权访问您帐户的第三方网站和应用程序列表。 不时检查这些是个好主意,因为您可能曾经将您的个人信息访问权限授予某项服务,然后停止使用它,并且忘记了该服务仍然可以访问。 限制可以访问您帐户的服务有助于保护它和您的私人数据。
有关实施 OAuth 的更多详细技术信息,请访问 OAuth 网站 .
