Що таке OAuth? Як працюють кнопки Facebook, Twitter і Google
Якщо ви коли-небудь використовували кнопку "Увійти з Facebook" або надавали доступ до вашого стороннього облікового запису третьою стороною, ви використовували OAuth. Його також використовують Google, Microsoft і LinkedIn, а також багато інших постачальників облікових записів. По суті, OAuth дозволяє надавати веб-сайту доступ до певної інформації про ваш обліковий запис, не надаючи йому фактичного пароля облікового запису.
OAuth для входу
Наразі у мережі OAuth є два основних цілі. Часто він використовується для створення облікового запису та зручнішого входу в онлайн-службу. Наприклад, замість створення нового імені користувача та пароля для Spotify, можна натиснути або натиснути "Увійти з Facebook". Служба перевіряє, хто саме ви знаходитесь у Facebook, і створює для вас новий обліковий запис. Коли ви входите в цю службу в майбутньому, він бачить, що ви входите в той самий обліковий запис Facebook і надаєте вам доступ до свого облікового запису. Вам не потрібно налаштовувати новий обліковий запис або нічого - замість вас ніхто не перевіряє автентичність.
Однак це дуже відрізняється від простого надання пароля облікового запису Facebook. Служба ніколи не отримує пароль вашого облікового запису Facebook або повний доступ до вашого облікового запису. Він може переглядати лише деякі обмежені особисті дані, наприклад ваше ім'я та адресу електронної пошти. Він не може переглядати ваші особисті повідомлення чи публікувати їх на вашій часовій шкалі.
Ті «Вхід з Twitter», «Вхід з Google», «Вхід з Microsoft», «Увійти за допомогою LinkedIn» та інші подібні кнопки для інших веб-сайтів працюють так само, як
OAuth для програм сторонніх виробників
OAuth також використовується при наданні стороннім програмам доступу до облікових записів, таких як облікові записи Twitter, Facebook, Google або Microsoft. Вона надає доступ до програм сторонніх розробників частинам вашого облікового запису. Однак вони ніколи не отримують пароль облікового запису. Кожна програма отримує унікальний маркер доступу, який обмежує доступ до вашого облікового запису. Наприклад, сторонні програми для Twitter можуть мати можливість переглядати твіти, але не публікувати нові твіти. Цей унікальний маркер доступу може бути скасований у майбутньому, і лише цей конкретний додаток втратить доступ до вашого облікового запису.
Як інший приклад, ви можете надати програмі третьої сторони доступ лише до ваших електронних листів Gmail, але обмежити їх можливістю робити що-небудь ще з вашим обліковим записом Google.
Це дуже відрізняється від простого надання програмі третьої сторони пароля вашого облікового запису та входу до нього. Програми обмежені в тому, що вони можуть робити, і що унікальний маркер доступу означає, що доступ до облікового запису можна скасувати в будь-який час без зміни основного пароль і без скасування доступу з інших програм.
Як працює OAuth
Можливо, ви не побачите слово "OAuth", коли ви його використовуєте. Веб-сайти та програми просто попросять вас увійти до свого облікового запису Facebook, Twitter, Google, Microsoft, LinkedIn або іншого типу.
Коли ви вибираєте обліковий запис, вас буде перенаправлено на веб-сайт постачальника облікового запису, де вам доведеться входити з цим обліковим записом, якщо ви в даний момент не ввійшли. Якщо ви підписані вгору! Вам навіть не потрібно вводити пароль.
Перед тим, як вводити пароль, переконайтеся, що ви дійсно направлені на реальний сайт Facebook, Twitter, Google, Microsoft, LinkedIn або будь-який інший веб-сайт із захищеним з'єднанням HTTPS. Ця частина процесу здається дозрілою для фішингу, оскільки зловмисні веб-сайти можуть претендувати на статус веб-сайту реальної служби, намагаючись захопити ваш пароль.
Залежно від того, як служба працює, ви можете автоматично ввійти до системи з деякою кількістю особистої інформації, або ви побачите запрошення надати доступ до деяких з ваших облікових записів. Можливо, ви навіть зможете вибрати, до якої інформації потрібно надати доступ до програми.
Після того, як ви надали доступ до програми, це буде зроблено. Ваша служба вибору надає веб-сайту або додатку унікальний маркер доступу. Він зберігає цей маркер і використовує його для отримання доступу до цих відомостей про ваш обліковий запис у майбутньому. Залежно від програми це може бути використано лише для автентифікації, коли ви входите, або для автоматичного доступу до вашого облікового запису та виконання речей у фоновому режимі. Наприклад, програма сторонніх розробників, яка сканує ваш обліковий запис Gmail, може регулярно отримувати доступ до ваших повідомлень електронної пошти, щоб вона могла надіслати вам повідомлення, якщо знайде щось.
Як переглядати та скасовувати доступ з програм сторонніх виробників
Ви можете переглядати та керувати списком веб-сайтів та програм третіх сторін, які мають доступ до вашого облікового запису на веб-сайті кожного облікового запису. Дуже добре перевіряти їх час від часу, оскільки ви, можливо, колись надавали доступ до вашої особистої інформації службі, припинили її використання і забули, що служба все ще має доступ. Обмеження служб, які мають доступ до вашого облікового запису, може допомогти захистити його та особисті дані.
Для отримання більш детальної технічної інформації про реалізацію OAuth відвідайте веб-сайт OAuth.