Als je ooit een knop 'Inloggen met Facebook' hebt gebruikt of een app van derden toegang tot je Twitter-account hebt gegeven, heb je OAuth gebruikt. Het wordt ook gebruikt door Google, Microsoft en LinkedIn, evenals door vele andere accountproviders. In wezen stelt OAuth u in staat om een website toegang te verlenen tot bepaalde informatie over uw account zonder uw daadwerkelijke accountwachtwoord te geven.
OAuth voor aanmelden
OAuth heeft momenteel twee hoofddoelen op internet. Het wordt vaak gebruikt om een account aan te maken en gemakkelijker in te loggen bij een online service. In plaats van een nieuwe gebruikersnaam en wachtwoord voor Spotify te maken, kunt u bijvoorbeeld op "Aanmelden met Facebook" klikken of tikken. De service controleert op Facebook wie je bent en maakt een nieuw account voor je aan. Wanneer u zich in de toekomst bij die service aanmeldt, ziet deze dat u zich aanmeldt met hetzelfde Facebook-account en krijgt u toegang tot uw account. U hoeft geen nieuw account of iets anders aan te maken; in plaats daarvan verifieert Facebook u.
Dit is echter iets heel anders dan de service het wachtwoord van uw Facebook-account geven. De service krijgt nooit het wachtwoord van uw Facebook-account of volledige toegang tot uw account. Het kan slechts enkele beperkte persoonlijke gegevens bekijken, zoals uw naam en e-mailadres. Het kan uw privéberichten niet bekijken of posten op uw tijdlijn.
Die 'Aanmelden met Twitter', 'Aanmelden met Google', 'Aanmelden met Microsoft', 'Aanmelden met LinkedIn' en andere vergelijkbare knoppen voor andere websites werken op dezelfde manier om
OAuth voor toepassingen van derden
OAuth wordt ook gebruikt om apps van derden toegang te geven tot accounts zoals uw Twitter-, Facebook-, Google- of Microsoft-accounts. Hiermee krijgen deze apps van derden toegang tot delen van uw account. Ze krijgen echter nooit uw accountwachtwoord. Elke applicatie krijgt een uniek toegangstoken dat de toegang tot uw account beperkt. Een toepassing van een derde partij voor Twitter kan bijvoorbeeld alleen uw tweets bekijken, maar geen nieuwe tweets plaatsen. Dat unieke toegangstoken kan in de toekomst worden ingetrokken, en alleen die specifieke app verliest de toegang tot uw account.
Een ander voorbeeld: u zou een toepassing van derden alleen toegang kunnen geven tot uw Gmail-e-mails, maar de toepassing ervan beperken om iets anders te doen met uw Google-account.
Dit is iets heel anders dan simpelweg uw accountwachtwoord geven aan een applicatie van derden en deze laten inloggen. De apps zijn beperkt in wat ze kunnen doen, en dat unieke toegangstoken betekent dat de accounttoegang op elk moment kan worden ingetrokken zonder uw hoofdaccount te wijzigen. wachtwoord en zonder de toegang van andere apps in te trekken.
Hoe OAuth werkt
U zult het woord 'OAuth' waarschijnlijk niet zien verschijnen wanneer u het gebruikt. Websites en apps zullen u alleen vragen om u aan te melden met uw Facebook-, Twitter-, Google-, Microsoft-, LinkedIn- of ander type account.
Wanneer u een account kiest, wordt u omgeleid naar de website van de accountprovider, waar u zich met dat account moet aanmelden als u momenteel niet bent aangemeld. Als u bent aangemeld, is dat geweldig! U hoeft niet eens een wachtwoord in te voeren.
VERWANT: Wat is HTTPS en waarom zou het mij iets kunnen schelen?
Zorg ervoor dat u daadwerkelijk wordt omgeleid naar de echte website van Facebook, Twitter, Google, Microsoft, LinkedIn of welke andere service dan ook met een beveiligde HTTPS-verbinding voordat u uw wachtwoord typt! Dit deel van het proces lijkt rijp voor phishing, aangezien kwaadwillende websites zich kunnen voordoen als de website van de echte service in een poging uw wachtwoord te achterhalen.
Afhankelijk van hoe de service werkt, wordt u mogelijk automatisch aangemeld met een beetje persoonlijke informatie, of ziet u mogelijk een prompt om de toepassing toegang te geven tot een deel van uw account. Mogelijk kunt u zelfs kiezen tot welke informatie u de toepassing toegang wilt geven.
Zodra u de app toegang heeft gegeven, is het klaar. De dienst naar keuze geeft de website of applicatie een uniek toegangstoken. Het slaat dat token op en gebruikt het om in de toekomst toegang te krijgen tot deze details over uw account. Afhankelijk van de toepassing kan dit alleen worden gebruikt om u te authenticeren wanneer u zich aanmeldt, of om automatisch toegang te krijgen tot uw account en dingen op de achtergrond te doen. Een toepassing van derden die uw Gmail-account scant, kan bijvoorbeeld regelmatig toegang krijgen tot uw e-mails, zodat deze u een melding kan sturen als hij iets vindt.
Toegang tot applicaties van derden bekijken en intrekken
VERWANT: Beveilig uw online accounts door toegang tot apps van derden te verwijderen
U kunt en bekijken de lijst met websites en applicaties van derden beheren die toegang hebben tot uw account op de website van elk account. Het is een goed idee om deze van tijd tot tijd te controleren, aangezien u misschien ooit toegang tot uw persoonlijke gegevens aan een service hebt gegeven, deze niet meer gebruikt en bent vergeten dat die service nog steeds toegang heeft. Door de services die toegang hebben tot uw account te beperken, kunt u deze en uw privégegevens beveiligen.
Voor meer gedetailleerde technische informatie over het implementeren van OAuth gaat u naar de OAuth-website .
