Ha valaha is használta a „Bejelentkezés Facebookon” gombot, vagy egy harmadik féltől származó alkalmazáshoz adott hozzáférést a Twitter-fiókjához, akkor az OAuth szolgáltatást használta. A Google, a Microsoft és a LinkedIn, valamint sok más fiókszolgáltató is használja. Lényegében az OAuth lehetővé teszi, hogy a webhelyhez hozzáférést biztosítson a fiókjával kapcsolatos információkhoz anélkül, hogy megadná neki a fiók tényleges jelszavát.
OAuth a bejelentkezéshez
Az OAuth-nak jelenleg két fő célja van az interneten. Gyakran fiók létrehozására és online szolgáltatásba történő kényelmesebb bejelentkezésre használják. Például ahelyett, hogy új felhasználónevet és jelszót hozna létre a Spotify számára, kattintson a „Bejelentkezés Facebook-al” elemre, vagy koppintson rá. A szolgáltatás ellenőrzi, hogy ki vagy a Facebookon, és létrehoz egy új fiókot számodra. Amikor a jövőben bejelentkezik a szolgáltatásba, látja, hogy ugyanazzal a Facebook-fiókkal jelentkezik be, és hozzáférést biztosít a fiókjához. Nem kell új fiókot létrehoznia, vagy bármi mást - ehelyett a Facebook hitelesít.
Ez azonban nagyon különbözik attól, hogy egyszerűen megadja a szolgáltatásnak a Facebook-fiók jelszavát. A szolgáltatás soha nem kapja meg a Facebook-fiók jelszavát vagy a teljes hozzáférést a fiókjához. Csak néhány korlátozott személyes adatot tud megnézni, például nevét és e-mail címét. Nem tudja megtekinteni a privát üzeneteit vagy közzétenni az idővonalon.
A „Jelentkezzen be a Twitter segítségével”, „Jelentkezzen be a Google-lal”, a „Jelentkezzen be a Microsofttal”, a „Jelentkezzen be a LinkedIn segítségével” és más hasonló gombok más webhelyekhez ugyanúgy működnek
OAuth harmadik féltől származó alkalmazásokhoz
Az OAuth-ot akkor is használják, ha harmadik féltől származó alkalmazásokhoz hozzáférést adnak olyan fiókokhoz, mint a Twitter, a Facebook, a Google vagy a Microsoft fiókok. Ez lehetővé teszi ezeknek a harmadik féltől származó alkalmazásoknak a fiókja egyes részeihez való hozzáférését. Azonban soha nem kapják meg a fiók jelszavát. Minden alkalmazás egyedi hozzáférési tokent kap, amely korlátozza a fiókjához való hozzáférést. Például egy harmadik féltől származó alkalmazás a Twitter számára csak arra képes, hogy megtekintse a tweetjeit, de nem küldhet új tweeteket. Ez az egyedi hozzáférési token a jövőben visszavonható, és csak az a bizonyos alkalmazás veszít hozzáférést a fiókjához.
Másik példaként megadhat egy harmadik féltől származó alkalmazás számára hozzáférést csak a Gmail e-mailjeihez, de korlátozhatja azt, hogy bármi mást tegyen a Google-fiókjával.
Ez nagyon különbözik attól, hogy egyszerűen megadjuk egy harmadik fél alkalmazásának a fiókjához tartozó jelszót, és hagyjuk bejelentkezni. Az alkalmazások korlátozottak abban, hogy mit tehetnek, és ez az egyedi hozzáférési token azt jelenti, hogy a fiókhoz való hozzáférést bármikor visszavonhatják a fő megváltoztatása nélkül. jelszóval és anélkül, hogy visszavonná a hozzáférést más alkalmazásoktól.
Hogyan működik az OAuth
Valószínűleg nem fogja látni az „OAuth” szót, amikor használja. A webhelyek és alkalmazások csak arra kérik Önt, hogy jelentkezzen be Facebook, Twitter, Google, Microsoft, LinkedIn vagy más típusú fiókjával.
Fiók kiválasztásakor a fiók szolgáltatójának webhelyére irányítanak, ahová be kell jelentkeznie azzal a fiókkal, ha még nincs bejelentkezve. Ha be van jelentkezve - nagyszerű! Még jelszót sem kell megadnia.
ÖSSZEFÜGGŐ: Mi a HTTPS, és miért érdekelne?
Győződjön meg arról, hogy valóban a valódi Facebook, Twitter, Google, Microsoft, LinkedIn vagy bármely más szolgáltatás webhelyére irányítja a biztonságos HTTPS kapcsolat mielőtt beírná a jelszavát! A folyamatnak ez a része érettnek tűnik az adathalászatra, mivel a rosszindulatú webhelyek a valódi szolgáltatás webhelyének tehetik magukat úgy, hogy megpróbálják elkapni a jelszavát.
A szolgáltatás működésétől függően előfordulhat, hogy automatikusan be van jelentkezve egy kis személyes információval, vagy megjelenhet egy felszólítás arra, hogy az alkalmazáshoz hozzáférést adjon az Ön fiókjához. Lehet, hogy még azt is kiválaszthatja, mely információkhoz kíván hozzáférést adni az alkalmazásnak.
Miután megadta az alkalmazás hozzáférését, kész. Az Ön által választott szolgáltatás egyedi hozzáférési jogkivonatot ad a webhelynek vagy az alkalmazásnak. Tárolja ezt a tokent, és felhasználja, hogy a jövőben hozzáférhessen fiókja ezen részleteihez. Az alkalmazástól függően ez csak a hitelesítéshez használható, amikor bejelentkezik, vagy hogy automatikusan hozzáférjen a fiókjához és a háttérben végezzen dolgokat. Például egy harmadik féltől származó alkalmazás, amely átvizsgálja a Gmail-fiókodat, rendszeresen hozzáférhet az e-mailekhez, így értesítést küldhet neked, ha talál valamit.
Hogyan lehet megtekinteni és visszavonni a hozzáférést harmadik féltől származó alkalmazásokból
ÖSSZEFÜGGŐ: Biztonságos online fiókok eltávolításával harmadik féltől származó alkalmazásokhoz való hozzáférést
Megtekintheti és kezelheti a fiókjához hozzáféréssel rendelkező harmadik felektől származó webhelyek és alkalmazások listáját minden fiók webhelyén. Célszerű ezeket időről időre ellenőrizni, mivel előfordulhat, hogy egyszer hozzáférést adott személyes adataihoz egy szolgáltatáshoz, felhagyott annak használatával, és elfelejtette, hogy a szolgáltatás továbbra is rendelkezik hozzáféréssel. A fiókjához hozzáféréssel rendelkező szolgáltatások korlátozása elősegítheti a fiók és a személyes adatok biztonságát.
Az OAuth megvalósításáról részletesebb technikai információkat talál az OAuth webhelye .
