10Jul
Wenn Sie jemals die Schaltfläche "Mit Facebook anmelden" verwendet haben oder der App-Zugriff von Drittanbietern auf Ihr Twitter-Konto gewährt wurde, haben Sie OAuth verwendet. Es wird auch von Google, Microsoft und LinkedIn sowie von vielen anderen Kontoanbietern verwendet. Im Wesentlichen ermöglicht OAuth Ihnen, einer Website Zugriff auf einige Informationen zu Ihrem Konto zu gewähren, ohne Ihr aktuelles Kontopasswort anzugeben.
OAuth für die Anmeldung bei
OAuth hat derzeit zwei Hauptzwecke im Internet. Oft wird es verwendet, um ein Konto zu erstellen und sich bequemer bei einem Online-Dienst anzumelden. Anstatt beispielsweise einen neuen Benutzernamen und ein neues Passwort für Spotify zu erstellen, können Sie auf "Mit Facebook anmelden" klicken oder tippen. Der Dienst überprüft, wer Sie auf Facebook sind und erstellt ein neues Konto für Sie. Wenn Sie sich in Zukunft bei diesem Dienst anmelden, erkennt er, dass Sie sich mit demselben Facebook-Konto anmelden und Zugriff auf Ihr Konto erhalten. Sie müssen kein neues Konto oder irgendetwas einrichten - Facebook authentifiziert Sie stattdessen.
Dies unterscheidet sich sehr von der einfachen Angabe Ihres Facebook-Kontopassworts. Der Dienst erhält niemals Ihr Facebook-Kontopasswort oder vollen Zugriff auf Ihr Konto. Es kann nur einige eingeschränkte persönliche Details sehen, wie Ihren Namen und Ihre E-Mail-Adresse. Er kann Ihre privaten Nachrichten nicht anzeigen oder auf Ihrer Timeline posten.
"Anmelden bei Twitter", "Anmelden bei Google", "Anmelden bei Microsoft", "Anmelden bei LinkedIn" und andere ähnliche Schaltflächen für andere Websites funktionieren auf dieselbe Weise wie
OAuth für Anwendungen von Drittanbietern
OAuth wird auch verwendet, wenn Apps von Drittanbietern Zugriff auf Konten wie Ihre Twitter-, Facebook-, Google- oder Microsoft-Konten erhalten. Dadurch können diese Apps von Drittanbietern auf Teile Ihres Kontos zugreifen. Sie erhalten jedoch niemals Ihr Kontopasswort. Jede Anwendung erhält ein eindeutiges Zugriffstoken, das den Zugriff auf Ihr Konto einschränkt. Beispielsweise kann eine Drittanbieteranwendung für Twitter nur Ihre Tweets anzeigen, aber keine neuen Tweets posten. Dieses eindeutige Zugriffstoken kann in Zukunft widerrufen werden, und nur diese bestimmte App verliert den Zugriff auf Ihr Konto.
Als ein weiteres Beispiel können Sie einer Drittanbieteranwendung nur Zugriff auf Ihre Google Mail-E-Mails gewähren, sie jedoch auf andere Aktionen mit Ihrem Google-Konto beschränken.
Dies unterscheidet sich sehr von einer einfachen Anmeldung bei einem Drittanbieter, indem Sie Ihr Kontopasswort eingeben und es sich anmelden lassen. Die Apps sind eingeschränkt und das einmalige Zugriffstoken bedeutet, dass der Kontozugriff jederzeit widerrufen werden kann, ohne Ihr Konto zu ändernHauptpasswort und ohne den Zugriff von anderen Apps zu widerrufen.
Funktionsweise von OAuth
Das Wort "OAuth" wird wahrscheinlich nicht angezeigt, wenn Sie es verwenden. Bei Websites und Apps werden Sie lediglich aufgefordert, sich mit Ihrem Facebook-, Twitter-, Google-, Microsoft-, LinkedIn- oder anderen Kontotyp anzumelden.
Wenn Sie ein Konto auswählen, werden Sie auf die Website des Kontoanbieters weitergeleitet, wo Sie sich mit diesem Konto anmelden müssen, wenn Sie gerade nicht angemeldet sind. Wenn Sie angemeldet sind - großartig! Sie müssen nicht einmal ein Passwort eingeben.
Stellen Sie sicher, dass Sie tatsächlich mit einer sicheren HTTPS-Verbindung auf die echte Facebook-, Twitter-, Google-, Microsoft-, LinkedIn- oder andere Website des anderen Dienstes geleitet werden, bevor Sie Ihr Passwort eingeben! Dieser Teil des Prozesses scheint reif für Phishing zu sein, da bösartige Websites so aussehen könnten, als seien sie die Website des echten Dienstes, um Ihr Passwort zu erfassen.
Je nachdem, wie der Dienst funktioniert, können Sie sich automatisch mit einigen persönlichen Informationen anmelden oder Sie werden aufgefordert, der Anwendung Zugriff auf einige Ihrer Konten zu gewähren. Möglicherweise können Sie sogar auswählen, auf welche Informationen Sie der Anwendung Zugriff gewähren möchten.
Sobald Sie der App Zugriff gewährt haben, ist es fertig. Ihr gewünschter Dienst gibt der Website oder Anwendung ein eindeutiges Zugriffstoken. Es speichert dieses Token und verwendet es, um in Zukunft auf diese Details zu Ihrem Konto zuzugreifen. Je nach Anwendung kann dies nur dazu verwendet werden, Sie bei der Anmeldung zu authentifizieren oder automatisch auf Ihr Konto zuzugreifen und Vorgänge im Hintergrund auszuführen. Beispielsweise kann eine Drittanbieteranwendung, die Ihr Google Mail-Konto durchsucht, regelmäßig auf Ihre E-Mails zugreifen, um Ihnen eine Benachrichtigung zu senden, wenn sie etwas findet.
So können Sie Zugriff von Drittanbieteranwendungen anzeigen und widerrufen
Sie können die Liste der Websites und Anwendungen von Drittanbietern anzeigen und verwalten, die auf der Website jedes Kontos Zugriff auf Ihr Konto haben. Es empfiehlt sich, diese von Zeit zu Zeit zu überprüfen, da Sie einem Dienst möglicherweise einmal Zugriff auf Ihre persönlichen Informationen gewährt haben, diese nicht mehr verwenden und vergessen haben, dass der Dienst weiterhin Zugriff hat. Wenn Sie die Dienste beschränken, die Zugriff auf Ihr Konto haben, können Sie diese und Ihre privaten Daten schützen.
Weitere technische Informationen zum Implementieren von OAuth finden Sie auf der OAuth-Website.