Čo je OAuth? Ako fungujú tie tlačidlá Facebook, Twitter a Google Sign-in
Ak ste kedykoľvek použili tlačidlo "Prihlásiť sa pomocou Facebooku" alebo ak máte prístup k aplikácii tretej strany na svoj účet v službe Twitter, použili ste funkciu OAuth. Používajú ho aj spoločnosti Google, Microsoft a LinkedIn, ako aj mnoho ďalších poskytovateľov účtu. Služba OAuth vám v podstate umožňuje udeliť prístup k webovým stránkam niektorým informáciám o vašom účte bez toho, aby ste mu dali skutočné heslo účtu.
OAuth pre prihlásenie
OAuth má v súčasnosti na webe dva hlavné účely. Často sa používa na vytvorenie účtu a pohodlnejšie prihlasovanie do služby online. Napríklad namiesto vytvorenia nového používateľského mena a hesla pre Spotify môžete kliknúť alebo klepnúť na "Prihlásiť sa pomocou Facebooku". Služba skontroluje, kto ste na Facebooku a vytvorí pre vás nový účet. Keď sa do tejto služby prihlásite v budúcnosti, uvidí, že sa prihlasujete pomocou rovnakého účtu Facebooku a dáva vám prístup k svojmu účtu. Nemusíte nastaviť nový účet alebo nič - Facebook vás overuje.
To je veľmi odlišné od jednoduchej doručenia služby vášho hesla účtu Facebook. Služba nikdy nedostane vaše heslo k účtu Facebook alebo úplný prístup k vášmu účtu. Môže zobraziť len niekoľko obmedzených osobných údajov, ako napríklad vaše meno a e-mailovú adresu. Nemôže zobraziť vaše súkromné správy alebo príspevky na vašej časovej osi.
Na prihlásenie do služby Twitter, "Prihlásiť sa pomocou služby Google", "Prihlásiť sa so spoločnosťou Microsoft", "Prihlásiť sa pomocou služby LinkedIn" a iné podobné tlačidlá pre iné webové stránky pracujú rovnakým spôsobom
OAuth pre aplikácie tretích strán
Služba OAuth sa používa aj pri sprístupňovaní aplikácií tretích strán účtom, ako sú vaše účty Twitter, Facebook, Google alebo Microsoft. Umožňuje týmto aplikáciám tretích strán prístup do častí vášho účtu. Nikdy však nedostanú heslo vášho účtu. Každá aplikácia dostane jedinečný prístupový token, ktorý obmedzuje prístup k vášmu účtu. Napríklad aplikácia tretej strany pre službu Twitter môže mať iba možnosť prezerať vaše tweety, ale nemôže odosielať nové tweety. Tento jedinečný prístupový token môže byť v budúcnosti zrušený a iba daná aplikácia stratí prístup k vášmu účtu.
Ako ďalší príklad by ste mohli dať aplikácii tretích strán prístup iba k vašim e-mailom v službe Gmail, ale obmedziť to, aby robili niečo iné s vaším účtom Google.
To je veľmi odlišné od toho, že jednoducho dáte aplikácii tretej strany heslo vášho účtu a necháte ho prihlásiť. Aplikácie sú obmedzené tým, čo môžu robiť, a jedinečný prístupový token znamená, že prístup k účtu je možné kedykoľvek odvolať bez toho, aby ste zmenili svoj hlavný a bez zrušenia prístupu z iných aplikácií.
Ako OAuth Works
Pravdepodobne sa vám nezobrazí slovo "OAuth" vždy, keď ho používate. Webové stránky a aplikácie vás budú len požiadať, aby ste sa prihlásili pomocou účtu Facebook, Twitter, Google, Microsoft, LinkedIn alebo iného typu účtu.
Keď si vyberiete účet, budete presmerovaný na webovú stránku poskytovateľa účtu, kde sa budete musieť prihlásiť s daným účtom, ak momentálne nie ste prihlásený. Ak ste prihlásený (-a) skvelý! Nemusíte ani zadávať heslo.
Uistite sa, že ste pred zadaním hesla skutočne nasmerovali na skutočné webové stránky Facebook, Twitter, Google, Microsoft, LinkedIn alebo akúkoľvek inú službu so zabezpečeným pripojením HTTPS! Táto časť procesu sa zdá byť zrelá pre phishing, pretože škodlivé webové stránky môžu predstierať, že sú webovými stránkami reálnej služby v snahe zachytiť vaše heslo.
V závislosti od toho, ako služba funguje, môžete byť automaticky prihlásení s trochou osobných informácií alebo sa môže zobraziť výzva na prístup k aplikácii k niektorému účtu. Môžete dokonca vybrať, ktoré informácie chcete aplikácii sprístupniť.
Po sprístupnení aplikácie sa to stalo. Vaša služba podľa vášho výberu dáva webovému serveru alebo aplikácii jedinečný prístupový token. Uchováva token a používa ho na získanie prístupu k týmto informáciám o vašom účte v budúcnosti. V závislosti od aplikácie sa táto možnosť môže používať iba na overenie totožnosti pri prihlasovaní, alebo k automatickému prístupu k vášmu účtu a vykonaniu pozadia na pozadí. Napríklad aplikácia tretej strany, ktorá skenuje váš účet Gmail, môže pravidelne pristupovať k vašim e-mailom, aby vám mohla poslať upozornenie, ak nájde niečo.
Ako zobraziť a odmietnuť prístup z aplikácií tretích strán
Môžete zobraziť a spravovať zoznam webových stránok a aplikácií tretích strán, ktoré majú prístup k vášmu účtu na webových stránkach každého účtu. Je to dobrý nápad ich z času na čas skontrolovať, pretože ste mohli dať prístup k svojim osobným informáciám službe, prestali ich používať a zabudli ste, že táto služba má stále prístup. Obmedzenie služieb, ktoré majú prístup k vášmu účtu, môže pomôcť zabezpečiť toto a vaše súkromné údaje.
Podrobnejšie technické informácie o implementácii OAuth nájdete na webovej lokalite OAuth.