Jika Anda pernah menggunakan tombol "Masuk Dengan Facebook", atau diberi akses aplikasi pihak ketiga ke akun Twitter Anda, Anda telah menggunakan OAuth. Ini juga digunakan oleh Google, Microsoft, dan LinkedIn, serta banyak penyedia akun lainnya. Pada dasarnya, OAuth memungkinkan Anda memberikan akses situs web ke beberapa informasi tentang akun Anda tanpa memberikan kata sandi akun Anda yang sebenarnya.
OAuth untuk Masuk
OAuth memiliki dua tujuan utama di web saat ini. Seringkali, ini digunakan untuk membuat akun dan masuk ke layanan online dengan lebih nyaman. Misalnya, daripada membuat nama pengguna dan kata sandi baru untuk Spotify, Anda dapat mengklik atau mengetuk "Masuk Dengan Facebook". Layanan memeriksa untuk melihat siapa Anda di Facebook dan membuat akun baru untuk Anda. Saat Anda masuk ke layanan itu di masa mendatang, itu melihat bahwa Anda masuk dengan akun Facebook yang sama dan memberi Anda akses ke akun Anda. Anda tidak perlu menyiapkan akun baru atau apa pun — Facebook mengautentikasi Anda sebagai gantinya.
Ini sangat berbeda dari sekadar memberikan layanan kata sandi akun Facebook Anda. Layanan ini tidak pernah mendapatkan kata sandi akun Facebook Anda atau akses penuh ke akun Anda. Itu hanya dapat melihat beberapa detail pribadi terbatas, seperti nama dan alamat email Anda. Itu tidak dapat melihat pesan pribadi Anda atau posting di Timeline Anda.
Tombol "Masuk Dengan Twitter", "Masuk Dengan Google", "Masuk Dengan Microsoft", "Masuk Dengan LinkedIn", dan tombol serupa lainnya untuk situs web lain berfungsi dengan cara yang sama, untuk
OAuth untuk Aplikasi Pihak Ketiga
OAuth juga digunakan saat memberikan akses aplikasi pihak ketiga ke akun seperti akun Twitter, Facebook, Google, atau Microsoft Anda. Ini memungkinkan aplikasi pihak ketiga ini mengakses ke bagian akun Anda. Namun, mereka tidak pernah mendapatkan kata sandi akun Anda. Setiap aplikasi mendapatkan token akses unik yang membatasi akses yang dimilikinya untuk akun Anda. Misalnya, aplikasi pihak ketiga untuk Twitter mungkin hanya memiliki kemampuan untuk melihat tweet Anda, tetapi tidak mengirim tweet baru. Token akses unik tersebut dapat dicabut di masa mendatang, dan hanya aplikasi tersebut yang akan kehilangan akses ke akun Anda.
Sebagai contoh lain, Anda mungkin memberikan akses aplikasi pihak ketiga hanya ke email Gmail Anda, tetapi membatasinya dari melakukan hal lain dengan akun Google Anda.
Ini sangat berbeda dari sekadar memberi aplikasi pihak ketiga sandi akun Anda dan membiarkannya masuk. Aplikasi dibatasi dalam apa yang dapat mereka lakukan, dan token akses unik itu berarti akses akun dapat dicabut kapan saja tanpa mengubah akun utama Anda. kata sandi dan tanpa mencabut akses dari aplikasi lain.
Cara Kerja OAuth
Anda mungkin tidak akan melihat kata "OAuth" muncul setiap kali Anda menggunakannya. Situs web dan aplikasi hanya akan meminta Anda untuk masuk dengan Facebook, Twitter, Google, Microsoft, LinkedIn, atau jenis akun lainnya.
Saat memilih akun, Anda akan diarahkan ke situs web penyedia akun, tempat Anda harus masuk dengan akun tersebut jika saat ini Anda belum masuk. Jika Anda sudah masuk — bagus! Anda bahkan tidak perlu memasukkan sandi.
TERKAIT: Apa Itu HTTPS, dan Mengapa Saya Harus Peduli?
Pastikan Anda benar-benar diarahkan ke Facebook, Twitter, Google, Microsoft, LinkedIn, atau situs web layanan apa pun yang asli dengan koneksi HTTPS aman sebelum mengetik kata sandi Anda! Bagian proses ini tampaknya siap untuk phishing, karena situs web berbahaya dapat berpura-pura menjadi situs web layanan yang sebenarnya dalam upaya untuk menangkap sandi Anda.
Bergantung pada cara kerja layanan, Anda mungkin hanya masuk secara otomatis dengan sedikit informasi pribadi, atau Anda mungkin melihat prompt untuk memberikan akses aplikasi ke beberapa akun Anda. Anda bahkan dapat memilih informasi mana yang ingin Anda berikan akses aplikasi.
Setelah Anda memberikan akses aplikasi, selesai. Layanan pilihan Anda memberi situs web atau aplikasi token akses unik. Ini menyimpan token itu dan menggunakannya untuk mendapatkan akses ke detail ini tentang akun Anda di masa mendatang. Bergantung pada aplikasinya, ini hanya dapat digunakan untuk mengautentikasi Anda ketika Anda masuk, atau untuk mengakses akun Anda secara otomatis dan melakukan sesuatu di latar belakang. Misalnya, aplikasi pihak ketiga yang memindai akun Gmail Anda dapat mengakses email Anda secara teratur sehingga dapat mengirimi Anda pemberitahuan jika menemukan sesuatu.
Cara Melihat dan Mencabut Akses Dari Aplikasi Pihak Ketiga
TERKAIT: Amankan Akun Online Anda Dengan Menghapus Akses Aplikasi Pihak Ketiga
Anda dapat melihat dan mengelola daftar situs web dan aplikasi pihak ketiga yang memiliki akses ke akun Anda di situs web setiap akun. Sebaiknya periksa ini dari waktu ke waktu, karena Anda mungkin pernah memberikan akses ke informasi pribadi Anda ke suatu layanan, berhenti menggunakannya, dan lupa bahwa layanan masih memiliki akses. Membatasi layanan yang memiliki akses ke akun Anda dapat membantu mengamankannya dan data pribadi Anda.
Untuk informasi teknis yang lebih mendetail tentang penerapan OAuth, kunjungi situs OAuth .
