10Jul
Jeśli kiedykolwiek używałeś przycisku "Zaloguj się za pomocą Facebooka" lub uzyskałeś dostęp aplikacji innej firmy do swojego konta na Twitterze, używałeś OAuth. Jest również używany przez Google, Microsoft i LinkedIn, a także przez wielu innych dostawców kont. Zasadniczo OAuth umożliwia przyznanie stronie dostępu do niektórych informacji o koncie bez podania jego rzeczywistego hasła do konta.
OAuth do podpisywania
OAuth ma w tej chwili dwa główne cele w sieci. Często służy do wygodniejszego tworzenia konta i logowania do usługi online. Na przykład zamiast tworzyć nową nazwę użytkownika i hasło do Spotify, możesz kliknąć "Zaloguj się przez Facebooka".Usługa sprawdza, czy jesteś na Facebooku i tworzy dla ciebie nowe konto. Gdy zalogujesz się do tej usługi w przyszłości, zobaczysz, że logujesz się przy użyciu tego samego konta Facebook i masz dostęp do swojego konta. Nie musisz zakładać nowego konta ani niczego - zamiast tego uwierzytelnia Cię Facebook.
Różni się jednak od zwykłego podania usługi hasła do konta na Facebooku. Usługa nigdy nie otrzyma hasła do konta Facebook ani pełnego dostępu do konta. Może wyświetlać tylko kilka ograniczonych danych osobowych, takich jak imię i nazwisko oraz adres e-mail. Nie może wyświetlać Twoich prywatnych wiadomości ani publikować na osi czasu.
Te "Zaloguj się za pomocą Twittera", "Zaloguj się przez Google", "Zaloguj się za pomocą Microsoft", "Zaloguj się przez LinkedIn" i inne podobne przyciski dla innych witryn działają w ten sam sposób, do
OAuth dla aplikacji innych firm
OAuth jest również używany, gdy dajesz aplikacjom innych firm dostęp do kont takich jak Twoje konto Twitter, Facebook, Google lub Microsoft. Umożliwia to aplikacjom innych firm dostęp do części konta. Jednak nigdy nie otrzymują hasła do konta. Każda aplikacja otrzymuje unikalny token dostępu, który ogranicza dostęp do konta. Na przykład aplikacja innej firmy do Twittera może mieć tylko możliwość przeglądania twoich tweetów, ale nie dodawać nowych tweetów. Ten unikalny token dostępu może zostać odwołany w przyszłości i tylko ta konkretna aplikacja utraci dostęp do Twojego konta.
Jako inny przykład, możesz dać aplikacji innej firmy dostęp tylko do wiadomości e-mail w Gmailu, ale ograniczyć to do robienia czegokolwiek innego za pomocą konta Google.
Różni się to od zwykłego podania aplikacji zewnętrznej hasła do Twojego konta i umożliwienia jej logowania. Aplikacje są ograniczone pod względem możliwości ich działania, a ten unikalny token dostępu oznacza, że dostęp do konta można w każdej chwili odwołać bez zmianygłówne hasło i bez odwoływania dostępu z innych aplikacji.
Jak działa OAuth
Prawdopodobnie nie zobaczysz słowa "OAuth", kiedy go używasz. Witryny i aplikacje po prostu poprosią Cię o zalogowanie się za pomocą Facebooka, Twittera, Google, Microsoft, LinkedIn lub innego rodzaju konta.
Po wybraniu konta nastąpi przekierowanie do witryny dostawcy konta, w której musisz zalogować się na to konto, jeśli nie jesteś zalogowany. Jeśli jesteś zalogowany - super! Nie musisz nawet wpisywać hasła.
Upewnij się, że faktycznie jesteś skierowany do prawdziwego Facebooka, Twittera, Google, Microsoftu, LinkedIn lub jakiejkolwiek innej strony internetowej usługi z bezpiecznym połączeniem HTTPS przed wpisaniem swojego hasła! Ta część procesu wydaje się być gotowa na wyłudzanie informacji, ponieważ złośliwe witryny mogą udawać prawdziwą stronę usługi, próbując przechwycić twoje hasło.
W zależności od tego, jak usługa działa, możesz automatycznie zalogować się przy użyciu niektórych danych osobowych lub możesz zobaczyć prośbę o przyznanie aplikacji dostępu do niektórych kont. Możesz nawet wybrać informacje, które chcesz udostępnić aplikacji.
Po przyznaniu dostępu do aplikacji jest już gotowe. Twoja wybrana usługa zapewnia stronie internetowej lub aplikacji unikalny token dostępu. Przechowuje token i używa go do uzyskiwania dostępu do tych informacji o koncie w przyszłości. W zależności od aplikacji może to służyć tylko do uwierzytelnienia użytkownika po zalogowaniu lub do automatycznego dostępu do konta i robienia rzeczy w tle. Na przykład aplikacja innej firmy, która skanuje twoje konto Gmail, może regularnie uzyskiwać dostęp do wiadomości e-mail, aby móc wysłać ci powiadomienie, jeśli coś znajdzie.
Jak wyświetlać i odbierać dostęp z aplikacji zewnętrznych
Możesz przeglądać i zarządzać listą stron internetowych i aplikacji stron trzecich, które mają dostęp do Twojego konta na stronie każdego konta. Warto sprawdzać je od czasu do czasu, ponieważ raz dostałeś dostęp do swoich danych osobowych do usługi, przestałeś z niej korzystać i zapomniałeś, że usługa nadal ma dostęp. Ograniczenie usług, które mają dostęp do Twojego konta, może pomóc zabezpieczyć to i twoje prywatne dane.
Aby uzyskać bardziej szczegółowe informacje techniczne dotyczące wdrażania OAuth, odwiedź witrynę OAuth.
