10Jul

Vad är OAuth? Hur de Facebook, Twitter och Google Inloggningsknappar fungerar

Om du någonsin använt en "Logga in med Facebook" -knapp eller ges en tredje parts app till ditt Twitter-konto har du använt OAuth. Den används också av Google, Microsoft och LinkedIn, liksom många andra kontoleverantörer. I huvudsak tillåter OAuth dig att ge en webbplatsåtkomst till viss information om ditt konto utan att ge det ditt faktiska lösenord för konto.

OAuth för signering i

OAuth har två huvudändamål på nätet för tillfället. Ofta används den för att skapa ett konto och logga in på en onlinetjänst mer bekvämt. Till exempel, istället för att skapa ett nytt användarnamn och lösenord för Spotify, kan du klicka eller trycka på "Logga in med Facebook".Tjänsten kontrollerar för att se vem du är på Facebook och skapar ett nytt konto för dig. När du loggar in på den tjänsten i framtiden ser du att du är inloggad med samma Facebook-konto och ger dig tillgång till ditt konto. Du behöver inte skapa ett nytt konto eller någonting-Facebook autentiserar dig istället.

Det här skiljer sig väldigt annorlunda från att bara ge tjänsten ditt lösenord till Facebook-kontot. Tjänsten får aldrig ditt Facebook-lösenord eller fullständig åtkomst till ditt konto. Det kan bara visa några begränsade personuppgifter, till exempel ditt namn och din e-postadress. Det kan inte visa dina privata meddelanden eller posta på din tidslinje.

De "Logga in med Twitter", "Logga in med Google", "Logga in med Microsoft", "Logga in med LinkedIn" och andra liknande knappar för andra webbplatser fungerar på samma sätt som

OAuth för tredjepartsprogram

OAuth används också när tredjepartsprogram får åtkomst till konton som dina Twitter-, Facebook-, Google- eller Microsoft-konton. Det låter dessa tredjepartsprogram komma åt delar av ditt konto. Dock får de aldrig ditt lösenord för kontot. Varje applikation får en unik åtkomsttoken som begränsar åtkomsten för ditt konto. Till exempel kan en tredjepartsprogram för Twitter bara ha möjlighet att visa dina tweets, men inte posta nya tweets. Den unika åtkomsttoken kan återkallas i framtiden, och endast den specifika appen kommer att förlora åtkomst till ditt konto.

Som ett annat exempel kan du ge en tredjepartsprogramåtkomst till bara dina Gmail-e-postmeddelanden, men begränsa det från att göra något annat med ditt Google-konto.

Det här skiljer sig väldigt annorlunda än att helt enkelt ge ett tredjepartsprogram ditt konto lösenord och låta det logga in. Apparna är begränsade till vad de kan göra, och den unika åtkomsttoken betyder att kontoåtkomst kan återkallas när som helst utan att ändra dinhuvudlösenord och utan att återkalla åtkomst från andra appar.

Hur OAuth fungerar

Du ser nog inte ordet "OAuth" när du använder den. Webbplatser och appar kommer bara att fråga dig att logga in med din Facebook, Twitter, Google, Microsoft, LinkedIn eller annan typ av konto.

När du väljer ett konto kommer du att skickas till kontotillverkarens webbplats, där du måste logga in med det här kontot om du inte är inloggad. Om du är inloggad-bra! Du behöver inte ens skriva in ett lösenord.

Se till att du faktiskt riktar dig till den verkliga Facebook, Twitter, Google, Microsoft, LinkedIn eller någon annan tjänstes webbplats med en säker HTTPS-anslutning innan du skriver ditt lösenord! Denna del av processen verkar mogen för phishing, eftersom skadliga webbplatser kan låtsas att vara den verkliga tjänstens webbplats för att fånga ditt lösenord.

Beroende på hur tjänsten fungerar kan du bara automatiskt logga in med lite personlig information, eller du kan få en prompten att ge ansökan åtkomst till något av ditt konto. Du kan till och med kunna välja vilken information du vill ge åtkomst till.

När du har gett app-åtkomsten är den klar. Din valfri tjänst ger webbplatsen eller applikationen ett unikt access token. Det lagrar det token och använder det för att få tillgång till dessa detaljer om ditt konto i framtiden. Beroende på ansökan kan det här endast användas för att autentisera dig när du loggar in eller för att automatiskt komma åt ditt konto och göra saker i bakgrunden. Till exempel kan en tredjepartsprogram som skannar ditt Gmail-konto regelbundet komma åt dina e-postmeddelanden så att det kan skicka dig ett meddelande om det hittar något.

Så här visar och återkallar du åtkomst från tredje parts applikationer

Du kan visa och hantera listan över webbplatser och program från tredje part som har tillgång till ditt konto på varje kontoens webbplats. Det är en bra idé att kolla dessa från tid till annan, eftersom du kanske en gång har gett dig tillgång till din personliga information till en tjänst, slutat använda den och glömt att tjänsten fortfarande har åtkomst. Att begränsa de tjänster som har tillgång till ditt konto kan hjälpa till att säkra det och din privata data.

För mer detaljerad teknisk information om hur du implementerar OAuth, besök OAuths webbplats.