Jeśli kiedykolwiek używałeś przycisku "Zaloguj się za pomocą Facebooka" lub uzyskałeś dostęp aplikacji innej firmy do swojego konta na Twitterze, używałeś OAuth. Jest również używany przez Google, Microsoft i LinkedIn, a także przez wielu innych dostawców kont. Zasadniczo OAuth umożliwia przyznanie stronie dostępu do niektórych informacji o koncie bez podania jego rzeczywistego hasła do konta.
OAuth ma obecnie dwa główne cele w sieci. Często służy do wygodniejszego tworzenia konta i logowania do usługi online. Na przykład zamiast tworzyć nową nazwę użytkownika i hasło do Spotify, możesz kliknąć "Zaloguj się przez Facebooka". Usługa sprawdza, czy jesteś na Facebooku i tworzy dla ciebie nowe konto. Gdy zalogujesz się do tej usługi w przyszłości, zobaczysz, że logujesz się przy użyciu tego samego konta Facebook i masz dostęp do swojego konta. Nie musisz zakładać nowego konta ani niczego - zamiast tego uwierzytelnia Cię Facebook.
Różni się to jednak od zwykłego podania usługi hasła do konta na Facebooku. Usługa nigdy nie otrzyma hasła do konta Facebook ani pełnego dostępu do konta. Może wyświetlać tylko kilka ograniczonych danych osobowych, takich jak imię i nazwisko oraz adres e-mail. Nie może wyświetlać Twoich prywatnych wiadomości ani publikować na osi czasu.
Te "Zaloguj się za pomocą Twittera", "Zaloguj się przez Google", "Zaloguj się za pomocą Microsoft", "Zaloguj się przez LinkedIn" i inne podobne przyciski do innych witryn działają w ten sam sposób, aby
OAuth jest również używany, gdy dajesz aplikacjom innych firm dostęp do kont takich jak Twoje konto Twitter, Facebook, Google lub Microsoft. Umożliwia to aplikacjom innych firm dostęp do części konta. Jednak nigdy nie otrzymują hasła do konta. Każda aplikacja otrzymuje unikalny token dostępu, który ogranicza dostęp do konta. Na przykład aplikacja innej firmy do Twittera może mieć tylko możliwość przeglądania twoich tweetów, ale nie dodawać nowych tweetów. Ten unikalny token dostępu może zostać odwołany w przyszłości i tylko ta konkretna aplikacja utraci dostęp do Twojego konta.
Innym przykładem może być przyznanie aplikacji innej firmy tylko do wiadomości e-mail w Gmailu, ale ograniczenie dostępu do niej za pomocą konta Google.
Różni się to od zwykłego podania aplikacji zewnętrznej hasła do konta i umożliwienia jej logowania. Aplikacje są ograniczone pod względem możliwości ich działania, a ten unikalny token dostępu oznacza, że dostęp do konta można w każdej chwili odwołać bez zmiany głównej hasło i bez odwoływania dostępu z innych aplikacji.
Prawdopodobnie nie zobaczysz słowa "OAuth", kiedy go używasz. Witryny i aplikacje po prostu poprosią Cię o zalogowanie się za pomocą Facebooka, Twittera, Google, Microsoft, LinkedIn lub innego rodzaju konta.
Gdy wybierzesz konto, przekierujemy Cię do witryny dostawcy konta, gdzie musisz zalogować się na to konto, jeśli nie jesteś zalogowany. Jeśli jesteś zalogowany, to świetnie! Nie musisz nawet wpisywać hasła.
Upewnij się, że faktycznie jesteś skierowany do prawdziwego Facebooka, Twittera, Google, Microsoftu, LinkedIn lub jakiejkolwiek innej strony internetowej usługi z bezpiecznym połączeniem HTTPS przed wpisaniem hasła! Ta część procesu wydaje się być gotowa na wyłudzanie informacji, ponieważ złośliwe witryny mogą udawać prawdziwą stronę usługi, próbując przechwycić twoje hasło.
W zależności od sposobu działania usługi możesz automatycznie zalogować się przy użyciu niektórych danych osobowych lub możesz zobaczyć prośbę o przyznanie aplikacji dostępu do niektórych kont. Możesz nawet wybrać informacje, które chcesz udostępnić aplikacji.
Po przyznaniu dostępu do aplikacji jest to gotowe. Twoja wybrana usługa zapewnia stronie internetowej lub aplikacji unikalny token dostępu. Przechowuje token i używa go do uzyskiwania dostępu do tych informacji o koncie w przyszłości. W zależności od aplikacji może to służyć tylko do uwierzytelnienia użytkownika po zalogowaniu lub do automatycznego dostępu do konta i robienia rzeczy w tle. Na przykład aplikacja innej firmy, która skanuje twoje konto Gmail, może regularnie uzyskiwać dostęp do wiadomości e-mail, aby mogła wysłać ci powiadomienie, jeśli coś znajdzie.
Możesz przeglądać listę witryn i aplikacji stron trzecich mających dostęp do Twojego konta i zarządzać nimi w witrynie każdego konta. Warto sprawdzać je od czasu do czasu, ponieważ raz dostałeś dostęp do swoich danych osobowych do usługi, przestałeś z niej korzystać i zapomniałeś, że usługa nadal ma dostęp. Ograniczenie usług, które mają dostęp do Twojego konta, może pomóc zabezpieczyć to i twoje prywatne dane.
Aby uzyskać bardziej szczegółowe informacje techniczne na temat wdrażania OAuth, odwiedź witrynę OAuth.