Vad är OAuth? Hur de Facebook, Twitter och Google Inloggningsknappar fungerar
Om du någonsin har använt en "Logga in med Facebook" -knapp, eller om du har fått en tredje parts appåtkomst till ditt Twitter-konto, har du använt OAuth. Den används även av Google, Microsoft och LinkedIn, liksom många andra kontoleverantörer. I huvudsak tillåter OAuth dig att ge en webbplatsåtkomst till viss information om ditt konto utan att ge det ditt faktiska lösenord för lösenord.
OAuth för inloggning
OAuth har två huvudändamål på nätet just nu. Ofta används den för att skapa ett konto och logga in på en onlinetjänst mer bekvämt. Till exempel, istället för att skapa ett nytt användarnamn och lösenord för Spotify, kan du klicka eller trycka på "Logga in med Facebook". Tjänsten kontrollerar för att se vem du är på Facebook och skapar ett nytt konto för dig. När du loggar in på den tjänsten i framtiden ser den att du är inloggad med samma Facebook-konto och ger dig tillgång till ditt konto. Du behöver inte skapa ett nytt konto eller något - Facebook verifierar dig istället.
Det här skiljer sig väldigt annorlunda från att bara ge tjänsten ditt lösenord för Facebook-konto. Tjänsten får aldrig ditt Facebook-lösenord eller fullständig åtkomst till ditt konto. Det kan bara visa några begränsade personuppgifter, till exempel ditt namn och din e-postadress. Det kan inte visa dina privata meddelanden eller posta på din tidslinje.
De "Logga in med Twitter", "Logga in med Google", "Logga in med Microsoft", "Logga in med LinkedIn" och andra liknande knappar för andra webbplatser fungerar på samma sätt som
OAuth för tredjepartsprogram
OAuth används också när du ger tredjepartsapp access till konton som dina Twitter-, Facebook-, Google- eller Microsoft-konton. Det låter dessa tredjepartsprogram komma åt delar av ditt konto. Men de får aldrig ditt lösenord för kontot. Varje applikation får en unik åtkomsttoken som begränsar åtkomsten för ditt konto. Till exempel kan en tredjepartsprogram för Twitter bara ha möjlighet att visa dina tweets, men inte posta nya tweets. Den unika åtkomsttoken kan återkallas i framtiden, och endast den specifika appen kommer att förlora åtkomst till ditt konto.
Som ett annat exempel kan du ge en tredjepartsprogramåtkomst till bara dina Gmail-e-postmeddelanden, men begränsa det från att göra något annat med ditt Google-konto.
Det här skiljer sig väldigt annorlunda än att helt enkelt ge en tredje parts ansökan ditt lösenord för ditt konto och låta det logga in. Apparna är begränsade till vad de kan göra, och den unika åtkomsttoken betyder att kontoåtkomst kan återkallas när som helst utan att ändra ditt huvud lösenord och utan att återkalla åtkomst från andra appar.
Hur OAuth Works
Du kommer nog inte se ordet "OAuth" visas när du använder det. Hemsidor och appar kommer bara att fråga dig att logga in med din Facebook, Twitter, Google, Microsoft, LinkedIn eller annan typ av konto.
När du väljer ett konto skickas du till kontoleverantörens hemsida, där du måste logga in med det här kontot om du inte är inloggad. Om du är inloggad-bra! Du behöver inte ens skriva in ett lösenord.
Se till att du faktiskt riktar dig till den riktiga Facebook, Twitter, Google, Microsoft, LinkedIn eller någon annan tjänstes webbplats med en säker HTTPS-anslutning innan du skriver ditt lösenord! Denna del av processen verkar mogen för phishing, eftersom skadliga webbplatser kan låtsas vara den verkliga tjänstens webbplats för att fånga ditt lösenord.
Beroende på hur tjänsten fungerar kan du bara automatiskt logga in med lite personlig information, eller det kan hända att du får en prompten att ge ansökan åtkomst till något av ditt konto. Du kan till och med kunna välja vilken information du vill ge åtkomst till.
När du väl har fått tillgång till appen är den klar. Din valfri tjänst ger webbplatsen eller applikationen ett unikt access token. Den lagrar den token och använder den för att få tillgång till dessa detaljer om ditt konto i framtiden. Beroende på ansökan kan det här endast användas för att autentisera dig när du loggar in eller för att automatiskt komma åt ditt konto och göra saker i bakgrunden. Till exempel kan en tredjepartsprogram som skannar ditt Gmail-konto regelbundet komma åt dina e-postmeddelanden så att det kan skicka dig ett meddelande om det hittar något.
Så här visar och återkallar du åtkomst från program från tredje part
Du kan visa och hantera listan över tredje parts webbplatser och program som har åtkomst till ditt konto på varje kontoens webbplats. Det är en bra idé att kolla dessa från tid till annan, eftersom du kanske en gång har gett dig tillgång till din personliga information till en tjänst, slutat använda den och glömt att tjänsten fortfarande har åtkomst. Att begränsa de tjänster som har tillgång till ditt konto kan hjälpa till att säkra det och din privata data.
För mer detaljerad teknisk information om hur du implementerar OAuth, besök OAuth-webbplatsen.