Hvis du noen gang har brukt et "Logg på med Facebook"-knappen, eller gitt en tredjepartsapp tilgang til Twitter-kontoen din, har du brukt OAuth. Det brukes også av Google, Microsoft og LinkedIn, så vel som mange andre kontotilbydere. I hovedsak lar OAuth deg gi et nettsted tilgang til litt informasjon om kontoen din uten å gi det ditt faktiske kontopassord.
OAuth for pålogging
OAuth har to hovedformål på nettet påøyeblikk. Ofte brukes den til å opprette en konto og logge på en online tjeneste mer praktisk. I stedet for å opprette et nytt brukernavn og passord for Spotify, kan du for eksempel klikke eller trykke på "Logg på med Facebook". Tjenesten sjekker for å se hvem du er på Facebook og oppretter en ny konto for deg. Når du logger deg på den tjenesten i fremtiden, ser den at du logger deg på med den samme Facebook-kontoen og gir deg tilgang til kontoen din. Du trenger ikke å sette opp en ny konto eller noe - Facebook autentiserer deg i stedet.
Dette er veldig forskjellig fra å bare gibetjener passordet for Facebook-kontoen din. Tjenesten får aldri passordet til Facebook-kontoen din eller full tilgang til kontoen din. Det kan bare se noen få begrensede personlige detaljer, for eksempel navn og e-postadresse. Den kan ikke se dine private meldinger eller legge ut på tidslinjen.
De "Logg på med Twitter", "Logg på med Google", "Logg på med Microsoft", "Logg på med LinkedIn" og andre lignende knapper for andre nettsteder fungerer på samme måte, for å
OAuth for tredjepartsapplikasjoner
OAuth brukes også når du gir tredjepartsappertilgang til kontoer som Twitter-, Facebook-, Google- eller Microsoft-kontoer. Det gir disse tredjepartsappene tilgang til deler av kontoen din. Imidlertid får de aldri kontopassordet ditt. Hver applikasjon får et unikt tilgangstoken som begrenser tilgangen den har for kontoen din. For eksempel kan en tredjepartsapplikasjon for Twitter bare ha muligheten til å se tweetsene dine, men ikke legge ut nye tweets. Det unike tilgangstokenet kan trekkes tilbake i fremtiden, og bare den spesifikke appen mister tilgangen til kontoen din.
Som et annet eksempel kan du gi en tredjepartsapplikasjon tilgang til bare Gmail-e-postene dine, men begrense den fra å gjøre noe annet med Google-kontoen din.
Dette er veldig forskjellig fra å bare gi entredjepart bruker kontopassordet ditt og lar det logge på. Appene er begrenset i hva de kan gjøre, og at unikt tilgangstoken betyr at kontotilgangen kan tilbakekalles når som helst uten å endre hovedpassordet og uten å avslå tilgangen fra andre apper .
Slik fungerer OAuth
Du vil sannsynligvis ikke se ordet "OAuth" visesnår du bruker det. Nettsteder og apper ber deg bare om å logge på med Facebook, Twitter, Google, Microsoft, LinkedIn eller annen type konto.
Når du velger en konto, blir du sendt tilkontoleverandørens nettsted, hvor du må logge deg på med den kontoen hvis du ikke er logget på. Hvis du er logget på - flott! Du trenger ikke en gang å oppgi et passord.
I SLEKT: Hva er HTTPS, og hvorfor skal jeg bry meg?
Forsikre deg om at du faktisk blir rettet mot det virkeligeFacebook, Twitter, Google, Microsoft, LinkedIn eller hvilken som helst annen tjenestes nettsted med en sikker HTTPS-tilkobling før du skriver inn passordet ditt! Denne delen av prosessen virker moden for nettfisking, ettersom ondsinnede nettsteder kan late som å være den virkelige tjenestens nettsted i et forsøk på å fange passordet ditt.
Avhengig av hvordan tjenesten fungerer, kan det hende du bare gjør detblir automatisk logget på med litt personlig informasjon, eller du kan se en beskjed om å gi applikasjonen tilgang til noe av kontoen din. Du kan til og med være i stand til å velge hvilken informasjon du vil gi applikasjonen tilgang til.
Når du har gitt appen tilgang, er det gjort. Din valgte tjeneste gir nettstedet eller applikasjonen et unikt tilgangstoken. Den lagrer det symbolet og bruker det for å få tilgang til disse detaljene om kontoen din i fremtiden. Avhengig av applikasjonen, kan dette bare brukes til å autentisere deg når du logger deg på, eller automatisk få tilgang til kontoen din og gjøre ting i bakgrunnen. For eksempel kan en tredjepartsapplikasjon som skanner Gmail-kontoen din jevnlig få tilgang til e-postene dine, slik at den kan sende deg et varsel hvis den finner noe.
Hvordan se og tilbakekalle tilgang fra tredjeparts applikasjoner
I SLEKT: Sikre dine online kontoer ved å fjerne tredjeparts apptilgang
Du kan se og administrere listen over tredjeparternettsteder og applikasjoner som har tilgang til kontoen din på hver kontos nettsted. Det er lurt å sjekke disse fra tid til annen, siden du kanskje har gitt tilgang til din personlige informasjon til en tjeneste, sluttet å bruke den og glemt at tjenesten fremdeles har tilgang. Å begrense tjenestene som har tilgang til kontoen din, kan bidra til å sikre den og dine private data.
For mer detaljert teknisk informasjon om implementering av OAuth, besøk OAuth-nettstedet.
