Hva er OAuth? Hvordan de Facebook, Twitter og Google Logg-in-knapper jobber
Hvis du noen gang har brukt en "Logg inn med Facebook" -knapp, eller gitt en tredjepartsprogramtilgang til din Twitter-konto, har du brukt OAuth. Den brukes også av Google, Microsoft og LinkedIn, samt mange andre kontoleverandører. I hovedsak lar OAuth deg gi en nettside tilgang til litt informasjon om kontoen uten å gi den det faktiske kontospassordet ditt.
OAuth for å logge inn
OAuth har to hovedmål på nettet for øyeblikket. Ofte er det brukt til å opprette en konto og logge på en Internett-tjeneste mer praktisk. For eksempel, i stedet for å opprette et nytt brukernavn og passord for Spotify, kan du klikke eller trykke på "Logg inn med Facebook". Tjenesten sjekker for å se hvem du er på Facebook, og oppretter en ny konto for deg. Når du logger deg på den tjenesten i fremtiden, ser den at du er logget på med samme Facebook-konto og gir deg tilgang til kontoen din. Du trenger ikke å sette opp en ny konto eller noe-Facebook autentiserer deg i stedet.
Dette er veldig forskjellig fra bare å gi tjenesten ditt Facebook-kontopassord, men. Tjenesten får aldri ditt Facebook-kontopassord eller full tilgang til kontoen din. Det kan bare vise noen få begrensede personlige opplysninger, som navn og e-postadresse. Det kan ikke se dine private meldinger eller innlegg på din tidslinje.
Disse "Logg på med Twitter", "Logg på med Google", "Logg på med Microsoft", "Logg på LinkedIn", og andre lignende knapper for andre nettsteder fungerer på samme måte som
OAuth for tredjepartsprogrammer
OAuth brukes også når tredjepartsprogrammer får tilgang til kontoer som Twitter, Facebook, Google eller Microsoft-kontoer. Det tillater disse tredjepartsappene tilgang til deler av kontoen din. De får imidlertid aldri kontopassordet ditt. Hver applikasjon får et unikt tilgangstoken som begrenser tilgangen til kontoen din. For eksempel kan en tredjepartsprogram for Twitter bare ha muligheten til å se tweets, men ikke legge inn nye tweets. Den unike tilgangstoken kan bli tilbakekalt i fremtiden, og bare den bestemte appen vil miste tilgang til kontoen din.
Som et annet eksempel kan du gi en tredjepartsprogramtilgang til bare Gmail-e-postene dine, men begrense det fra å gjøre noe annet med Google-kontoen din..
Dette er veldig forskjellig fra bare å gi en tredjepartsprogram ditt kontopassord og la det logge på. Appene er begrenset til hva de kan gjøre, og den unike tilgangstoken betyr at kontoadgangen kan tilbakekalles til enhver tid uten å endre hovedmenyen passord og uten å tilbakekalle tilgang fra andre apper.
Hvordan OAuth Works
Du ser sannsynligvis ikke ordet "OAuth" når du bruker det. Nettsteder og apper vil bare be deg om å logge inn med Facebook, Twitter, Google, Microsoft, LinkedIn eller annen type konto.
Når du velger en konto, blir du sendt til kontoutbyderens nettsted, der du må logge på med den kontoen hvis du ikke er logget inn. Hvis du er logget inn-flott! Du trenger ikke engang å skrive inn et passord.
Sørg for at du faktisk er rettet til den virkelige Facebook, Twitter, Google, Microsoft, LinkedIn eller hva som helst annen tjeneste nettsted med en sikker HTTPS-tilkobling før du skriver inn passordet ditt! Denne delen av prosessen virker moden for phishing, da ondsinnede nettsteder kan late som å være den virkelige tjenestens nettsted i et forsøk på å fange passordet ditt.
Avhengig av hvordan tjenesten fungerer, kan du bare automatisk logge på med litt personlig informasjon, eller du kan få en melding om å gi applikasjonen tilgang til noen av kontoen din. Du kan til og med kunne velge hvilken informasjon du vil gi applikasjonen tilgang til.
Når du har gitt app-tilgangen, er den ferdig. Din valgfrihet gir nettstedet eller applikasjonen et unikt tilgangstoken. Det lagrer det token og bruker det for å få tilgang til disse detaljene om kontoen din i fremtiden. Avhengig av søknaden kan dette bare brukes til å autentisere deg når du logger på, eller for å få tilgang til kontoen din automatisk og gjøre ting i bakgrunnen. For eksempel kan en tredjepartsprogram som skanner Gmail-kontoen din regelmessig få tilgang til e-postene dine, slik at den kan sende deg et varsel hvis det finner noe.
Slik viser og Tilbakekaller tilgang fra Tredjeparts applikasjoner
Du kan vise og administrere listen over tredjeparts nettsteder og applikasjoner som har tilgang til kontoen din på hver kontos nettsted. Det er en god ide å sjekke disse fra tid til annen, ettersom du en gang har gitt tilgang til dine personlige opplysninger til en tjeneste, sluttet å bruke den og glemt at tjenesten fortsatt har tilgang. Begrensning av tjenestene som har tilgang til kontoen din, kan bidra til å sikre det og dine private data.
For mer detaljert teknisk informasjon om implementering av OAuth, besøk OAuths nettsted.