Wenn Sie jemals ein "Anmelden mit Facebook" verwendet habenSie haben OAuth verwendet, wenn Sie auf die Schaltfläche klicken oder einer Drittanbieter-App Zugriff auf Ihr Twitter-Konto gewähren. Es wird auch von Google, Microsoft und LinkedIn sowie vielen anderen Kontoprovidern verwendet. Im Wesentlichen können Sie mit OAuth einer Website Zugriff auf einige Informationen zu Ihrem Konto gewähren, ohne dass Sie Ihr tatsächliches Kontopasswort angeben müssen.
OAuth für die Anmeldung
OAuth hat zwei Hauptziele im Internet unterMoment. Oft wird es verwendet, um ein Konto zu erstellen und sich bequemer bei einem Onlinedienst anzumelden. Anstatt beispielsweise einen neuen Benutzernamen und ein neues Passwort für Spotify zu erstellen, können Sie auf „Mit Facebook anmelden“ klicken oder darauf tippen. Der Dienst überprüft, wer Sie auf Facebook sind, und erstellt ein neues Konto für Sie. Wenn Sie sich zukünftig bei diesem Dienst anmelden, wird angezeigt, dass Sie sich mit demselben Facebook-Konto anmelden, und Sie erhalten Zugriff auf Ihr Konto. Sie müssen kein neues Konto einrichten oder etwas anderes - Facebook authentifiziert Sie stattdessen.
Das ist ganz anders, als einfach das zu gebenGeben Sie jedoch Ihr Facebook-Passwort ein. Der Dienst erhält niemals Ihr Facebook-Kontopasswort oder vollen Zugriff auf Ihr Konto. Es können nur einige eingeschränkte personenbezogene Daten wie Name und E-Mail-Adresse angezeigt werden. Es kann Ihre privaten Nachrichten nicht anzeigen oder auf Ihrer Timeline veröffentlichen.
Die Schaltflächen "Mit Twitter anmelden", "Mit Google anmelden", "Mit Microsoft anmelden", "Mit LinkedIn anmelden" und andere ähnliche Schaltflächen für andere Websites funktionieren auf die gleiche Weise
OAuth für Anwendungen von Drittanbietern
OAuth wird auch beim Bereitstellen von Apps von Drittanbietern verwendetZugriff auf Konten wie Ihre Twitter-, Facebook-, Google- oder Microsoft-Konten. Damit können diese Apps von Drittanbietern auf Teile Ihres Kontos zugreifen. Sie erhalten jedoch nie Ihr Kontopasswort. Jede Anwendung erhält ein eindeutiges Zugriffstoken, das den Zugriff auf Ihr Konto einschränkt. Beispielsweise kann eine Drittanbieteranwendung für Twitter möglicherweise nur Ihre Tweets anzeigen, jedoch keine neuen Tweets veröffentlichen. Dieses eindeutige Zugriffstoken kann in Zukunft widerrufen werden, und nur diese bestimmte App verliert den Zugriff auf Ihr Konto.
Ein weiteres Beispiel ist, dass Sie einer Drittanbieteranwendung möglicherweise nur Zugriff auf Ihre Google Mail-E-Mails gewähren, diese jedoch daran hindern, mit Ihrem Google-Konto etwas anderes zu tun.
Das ist ganz anders, als einfach a zu gebenDrittanbieteranwendung Ihr Kontopasswort und Zulassen, dass es sich anmeldet. Die Funktionen der Apps sind begrenzt. Dieses eindeutige Zugriffstoken bedeutet, dass der Kontozugriff jederzeit widerrufen werden kann, ohne Ihr Hauptpasswort zu ändern und ohne den Zugriff anderer Apps zu widerrufen .
So funktioniert OAuth
Wahrscheinlich wird das Wort "OAuth" nicht angezeigtwann immer Sie es benutzen. Bei Websites und Apps werden Sie lediglich aufgefordert, sich mit Ihrem Facebook-, Twitter-, Google-, Microsoft-, LinkedIn- oder einem anderen Konto anzumelden.
Wenn Sie ein Konto auswählen, werden Sie weitergeleitetauf der Website des Kontoanbieters, auf der Sie sich mit diesem Konto anmelden müssen, wenn Sie noch nicht angemeldet sind. Wenn Sie angemeldet sind - großartig! Sie müssen nicht einmal ein Passwort eingeben.
VERBUNDEN: Was ist HTTPS und warum sollte es mich interessieren?
Stellen Sie sicher, dass Sie tatsächlich an die reale gerichtet sindFacebook, Twitter, Google, Microsoft, LinkedIn oder die Website eines anderen Dienstes mit einer sicheren HTTPS-Verbindung, bevor Sie Ihr Passwort eingeben! Dieser Teil des Prozesses scheint reif für Phishing zu sein, da böswillige Websites vorgeben könnten, die eigentliche Website des Dienstes zu sein, um Ihr Kennwort zu erfassen.
Abhängig davon, wie der Dienst funktioniert, können Sie nurSie werden automatisch mit ein paar persönlichen Informationen angemeldet, oder Sie werden aufgefordert, der Anwendung Zugriff auf einen Teil Ihres Kontos zu gewähren. Möglicherweise können Sie sogar auswählen, auf welche Informationen die Anwendung zugreifen soll.
Sobald Sie die App erhalten haben, ist dies erledigt. Ihr Service Ihrer Wahl verleiht der Website oder Anwendung ein eindeutiges Zugriffstoken. Dieses Token wird gespeichert und verwendet, um in Zukunft Zugriff auf diese Details Ihres Kontos zu erhalten. Abhängig von der Anwendung kann dies nur dazu verwendet werden, Sie bei der Anmeldung zu authentifizieren oder automatisch auf Ihr Konto zuzugreifen und im Hintergrund zu arbeiten. Beispielsweise kann eine Drittanbieteranwendung, die Ihr Google Mail-Konto durchsucht, regelmäßig auf Ihre E-Mails zugreifen, um Ihnen eine Benachrichtigung zu senden, wenn sie etwas findet.
Anzeigen und Widerrufen des Zugriffs von Anwendungen von Drittanbietern
VERBUNDEN: Sichern Sie Ihre Online-Konten, indem Sie den Zugriff von Drittanbieter-Apps entfernen
Sie können die Liste der Drittanbieter anzeigen und verwaltenWebsites und Anwendungen, die auf der Website jedes Kontos Zugriff auf Ihr Konto haben. Es ist eine gute Idee, diese von Zeit zu Zeit zu überprüfen, da Sie möglicherweise einem Dienst einmal Zugriff auf Ihre persönlichen Daten gewährt, die Nutzung dieses Dienstes eingestellt und vergessen haben, dass dieser Dienst weiterhin Zugriff hat. Wenn Sie die Dienste einschränken, die Zugriff auf Ihr Konto haben, können Sie dieses und Ihre privaten Daten schützen.
Ausführlichere technische Informationen zur Implementierung von OAuth finden Sie auf der OAuth-Website.
