If-Koubou

Какво е OAuth? Как работят бутоните Facebook, Twitter и Google Sign-in

Какво е OAuth? Как работят бутоните Facebook, Twitter и Google Sign-in (Как да)

Ако някога сте използвали бутон "Влизане в Facebook" или сте получили достъп на трети страни до вашия Twitter профил, сте използвали OAuth. Той се използва и от Google, Microsoft и LinkedIn, както и от много други доставчици на акаунти. По същество OAuth ви позволява да предоставите на уебсайта достъп до някаква информация за профила ви, без да му дадете истинската си парола за профила.

OAuth за влизане в профила

OAuth има две основни цели в мрежата в момента. Често се използва за създаване на профил и за по-удобно влизане в онлайн услуга. Например, вместо да създадете ново потребителско име и парола за Spotify, можете да щракнете върху или да докоснете "Вход с Facebook". Услугата проверява кой сте във Facebook и създава нов профил за вас. Когато влезете в тази услуга в бъдеще, той вижда, че сте влезли със същия профил в Facebook и ви дава достъп до профила си. Не е нужно да създавате нов акаунт или нещо друго - вместо това Facebook ви удостоверява.

Това е много различно от това, просто да дадете на услугата своята парола за Facebook сметка. Услугата никога не получава паролата за вашия акаунт в Facebook или пълен достъп до вашия акаунт. Тя може да разглежда само няколко ограничени лични данни, като вашето име и имейл адрес. Той не може да разглежда вашите лични съобщения или публикации във вашата хронология.

Тези "Влезте в Twitter", "Влезте с Google", "Влезте с Microsoft", "Влезте в LinkedIn" и други подобни бутони за други сайтове работят по същия начин, за да

OAuth за приложения от трети страни

OAuth се използва и при предоставяне на достъп на приложения на трети страни до профили като Twitter, Facebook, Google или Microsoft. Тя позволява на тези приложения на трети страни достъп до части от профила ви. Те обаче никога не получават паролата за профила ви. Всяко приложение получава уникален маркер за достъп, който ограничава достъпа до него. Например, приложение на трета страна за Twitter може да има само възможността да преглежда вашите tweets, но да не публикува нови tweets. Този уникален маркер за достъп може да бъде отменен в бъдеще и само това конкретно приложение ще загуби достъп до профила ви.

Като друг пример, може да дадете достъп на трети страни само до имейлите си в Gmail, но да го ограничите да не правите нищо друго с профила си в Google.

Това е много различно от това, че просто давате на трета страна приложение, паролата за профила ви и го позволявате да влезе. Приложенията са ограничени в това, което могат да направят, и това уникално означение за достъп означава, че достъпът до профила може да бъде отнет по всяко време, парола и без да отменяте достъп от други приложения.

Как функционира OAuth

Вероятно няма да видите думата "OAuth", когато го използвате. Уебсайтовете и приложенията ще ви помолят да влезете във Facebook, Twitter, Google, Microsoft, LinkedIn или друг вид акаунт.

Когато изберете профил, ще бъдете насочени към уебсайта на доставчика на акаунта, където ще трябва да влезете в профила си, ако понастоящем не сте влезли в профила си. Ако сте влезли добре в профила си, Дори не е нужно да въвеждате парола.

Уверете се, че всъщност се насочвате към истинския уеб сайт на Facebook, Twitter, Google, Microsoft, LinkedIn или на всяка друга услуга със защитена връзка HTTPS, преди да въведете паролата си! Тази част от процеса изглежда узряла за фишинг, тъй като злонамерените уеб сайтове могат да се представят като уебсайт на истинската услуга в опит да улови паролата ви.

В зависимост от начина на функциониране на услугата, може автоматично да сте влезли с малко лична информация или може да видите подкана, за да дадете на приложението достъп до част от профила ви. Може дори да сте в състояние да изберете коя информация искате да даде достъп до приложението.

След като дадете достъп до приложението, това е направено. Избраната от вас услуга предоставя на уебсайта или приложението уникален маркер за достъп. Той съхранява това означение и го използва, за да получи достъп до тези подробности за профила ви в бъдеще. В зависимост от приложението, това може да се използва само за удостоверяване на самоличността ви, когато влезете, или автоматично да осъществите достъп до профила си и да правите неща във фонов режим. Например, приложение на трета страна, което сканира профила ви в Gmail, може редовно да получава достъп до имейлите ви, за да може да ви изпрати известие, ако намери нещо.

Как да разглеждате и отменяте достъп от приложения на трети страни

Можете да преглеждате и управлявате списъка с уебсайтове и приложения на трети страни, които имат достъп до профила Ви в уебсайта на всеки от тях. Добра идея е да ги проверявате от време на време, тъй като може да сте дали достъп до личната ви информация до услуга, да сте спрели да я използвате и да забравите, че тази услуга все още има достъп. Ограничаването на услугите, които имат достъп до профила ви, може да помогне за защитата му и вашите лични данни.

За по-подробна техническа информация за внедряването на OAuth посетете уеб сайта на OAuth.