Hvis du noen gang har brukt "Logg på med Facebook" -knappen, eller gitt en tredjepartsapp tilgang til Twitter-kontoen din, har du brukt OAuth. Den brukes også av Google, Microsoft og LinkedIn, så vel som mange andre kontoleverandører. I hovedsak lar OAuth deg gi et nettsted tilgang til litt informasjon om kontoen din uten å gi det ditt faktiske passord.
OAuth for pålogging
OAuth har to hovedformål på nettet for øyeblikket. Ofte brukes den til å opprette en konto og logge på en online tjeneste enklere. For eksempel, i stedet for å opprette et nytt brukernavn og passord for Spotify, kan du klikke eller trykke på "Logg på med Facebook". Tjenesten sjekker for å se hvem du er på Facebook og oppretter en ny konto for deg. Når du logger på den tjenesten i fremtiden, ser den at du logger på med den samme Facebook-kontoen og gir deg tilgang til kontoen din. Du trenger ikke å opprette en ny konto eller noe annet - Facebook autentiserer deg i stedet.
Dette er imidlertid veldig forskjellig fra å bare gi tjenesten passordet til Facebook-kontoen. Tjenesten får aldri passordet til Facebook-kontoen din eller full tilgang til kontoen din. Det kan bare vise noen få begrensede personlige detaljer, som navn og e-postadresse. Den kan ikke se private meldingene dine eller legge ut innlegg på tidslinjen din.
De “Logg på med Twitter”, “Logg på med Google”, “Logg på med Microsoft”, “Logg på med LinkedIn” og andre lignende knapper for andre nettsteder fungerer på samme måte for å
OAuth for tredjepartsapplikasjoner
OAuth brukes også når tredjepartsapper får tilgang til kontoer som Twitter-, Facebook-, Google- eller Microsoft-kontoer. Det gir disse tredjepartsappene tilgang til deler av kontoen din. Imidlertid får de aldri kontopassordet ditt. Hver applikasjon får et unikt tilgangstoken som begrenser tilgangen den har til kontoen din. For eksempel kan en tredjepartsapplikasjon for Twitter bare ha muligheten til å se tweets, men ikke legge ut nye tweets. Det unike tilgangstokenet kan tilbakekalles i fremtiden, og bare den spesifikke appen mister tilgangen til kontoen din.
Som et annet eksempel kan du gi tredjepartsapplikasjon bare tilgang til Gmail-e-postene dine, men begrense det fra å gjøre noe annet med Google-kontoen din.
Dette er veldig forskjellig fra å bare gi et tredjepartsapplikasjon kontopassordet ditt og la det logge på. Appene er begrenset i hva de kan gjøre, og det unike tilgangstokenet betyr at kontotilgangen kan tilbakekalles når som helst uten å endre hoved passord og uten å tilbakekalle tilgang fra andre apper.
Hvordan OAuth fungerer
Du vil sannsynligvis ikke se ordet “OAuth” vises når du bruker det. Nettsteder og apper vil bare be deg om å logge på med Facebook, Twitter, Google, Microsoft, LinkedIn eller annen type konto.
Når du velger en konto, blir du sendt til kontoleverandørens nettsted, hvor du må logge på med den kontoen hvis du ikke er logget på for øyeblikket. Hvis du er logget på - flott! Du trenger ikke engang å oppgi passord.
I SLEKT: Hva er HTTPS, og hvorfor bør jeg bry meg?
Forsikre deg om at du faktisk blir dirigert til den virkelige Facebook, Twitter, Google, Microsoft, LinkedIn eller hvilken som helst annen tjenestes nettsted med en sikker HTTPS-tilkobling før du skriver inn passordet ditt! Denne delen av prosessen virker moden for phishing, ettersom ondsinnede nettsteder kan late som om de er den virkelige tjenestens nettsted i et forsøk på å fange passordet ditt.
Avhengig av hvordan tjenesten fungerer, kan du bare automatisk logge på med litt personlig informasjon, eller du kan se en melding om å gi applikasjonen tilgang til noe av kontoen din. Du kan til og med være i stand til å velge hvilken informasjon du vil gi applikasjonen tilgang til.
Når du har gitt appen tilgang, er den ferdig. Din valgte tjeneste gir nettstedet eller applikasjonen et unikt tilgangstoken. Den lagrer det tokenet og bruker det til å få tilgang til disse detaljene om kontoen din i fremtiden. Avhengig av applikasjon, kan dette bare brukes til å autentisere deg når du logger på, eller for å automatisk få tilgang til kontoen din og gjøre ting i bakgrunnen. For eksempel kan et tredjepartsprogram som skanner Gmail-kontoen din regelmessig få tilgang til e-postene dine, slik at det kan sende deg et varsel hvis det finner noe.
Hvordan vise og tilbakekalle tilgang fra tredjepartsapplikasjoner
I SLEKT: Sikre dine online-kontoer ved å fjerne tredjepartsapptilgang
Du kan se og administrere listen over tredjeparts nettsteder og applikasjoner som har tilgang til kontoen din på hver kontos nettsted. Det er lurt å sjekke disse innimellom, siden du en gang har gitt tilgang til din personlige informasjon til en tjeneste, sluttet å bruke den og glemt at tjenesten fremdeles har tilgang. Å begrense tjenestene som har tilgang til kontoen din, kan bidra til å sikre den og dine private data.
For mer detaljert teknisk informasjon om implementering av OAuth, besøk nettstedet OAuth .
