Начална » как да » Какво е OAuth? Как тези бутони за Facebook, Twitter и Google работят

    Какво е OAuth? Как тези бутони за Facebook, Twitter и Google работят

    Ако някога сте използвали бутон „Влизане с Facebook“ или сте получили достъп до приложение от трета страна за профила си в Twitter, сте използвали OAuth. Използва се и от Google, Microsoft и LinkedIn, както и от много други доставчици на акаунти. По същество, OAuth ви позволява да предоставите достъп до уебсайта на някаква информация за профила ви, без да ви дава действителната парола на профила.

    OAuth за влизане

    В момента OAuth има две основни цели в мрежата. Често се използва за създаване на профил и по-удобно влизане в онлайн услуга. Например, вместо да създавате ново потребителско име и парола за Spotify, можете да кликнете върху или да натиснете „Влизане с Facebook“. Услугата проверява кой сте във Facebook и създава нов акаунт за вас. Когато влезете в тази услуга в бъдеще, той вижда, че влизате със същия профил във Facebook и ви дава достъп до профила си. Не е нужно да създавате нов акаунт или нещо друго - вместо това Facebook ви удостоверява.

    Това обаче е много по-различно от простото предоставяне на услугата на вашата парола за Facebook сметка. Услугата никога не получава паролата за профила ви във Facebook или пълен достъп до профила ви. Тя може да вижда само няколко лични данни, като името и имейл адреса ви. Тя не може да преглежда личните ви съобщения или да публикува в хронологията ви.

    Тези „Влезте с Twitter“, „Влезте с Google“, „Влезте с Microsoft“, „Вход с LinkedIn“ и други подобни бутони за други уебсайтове работят по същия начин,

    OAuth за приложения на трети страни

    OAuth се използва и при предоставяне на достъп на приложения на трети страни до профили като профили в Twitter, Facebook, Google или Microsoft. Тя позволява на тези приложения на трети страни достъп до части от профила ви. Въпреки това, те никога не получават паролата за профила ви. Всяко приложение получава уникален маркер за достъп, който ограничава достъпа, който има за профила ви. Например приложение за трета страна за Twitter може само да има възможност да преглежда туитовете ви, но не и да пуска нови туитове. Този уникален маркер за достъп може да бъде отменен в бъдеще и само това конкретно приложение ще загуби достъп до профила ви.

    Като друг пример може да предоставите на приложението на трети страни достъп само до имейлите ви в Gmail, но да го ограничите да прави нещо друго с профила си в Google.

    Това е много по-различно от простото предоставяне на приложението на трета страна на паролата за профила ви и нейното влизане. Приложенията са ограничени в това, което могат да направят, и този уникален знак за достъп означава, че достъпът до профила може да бъде отменен по всяко време, без да се променя главното парола и без да отменяте достъп от други приложения.

    Как OAuth Works

    Вероятно няма да видите думата „OAuth“, когато я използвате. Уебсайтовете и приложенията само ще ви помолят да влезете с профила си във Facebook, Twitter, Google, Microsoft, LinkedIn или друг тип.

    Когато изберете профил, ще бъдете пренасочени към уебсайта на доставчика на профила, където ще трябва да влезете с този профил, ако в момента не сте влезли в профила си. Дори не трябва да въвеждате парола.

    Уверете се, че всъщност сте насочени към истинския Facebook, Twitter, Google, Microsoft, LinkedIn или какъвто и да е друг уебсайт на услугата със защитена HTTPS връзка, преди да въведете паролата си! Тази част от процеса изглежда зряла за фишинг, тъй като злонамерени уебсайтове могат да се преструват, че са уебсайта на реалната услуга в опит да заложат паролата ви.

    В зависимост от това как работи услугата, може просто да се регистрирате автоматично с малко лична информация или да видите подкана да предоставите на приложението достъп до част от профила ви. Може дори да можете да изберете коя информация искате да дадете на приложението.

    След като дадете достъп на приложението, това е направено. Вашата услуга по избор дава на уебсайта или приложението уникален маркер за достъп. Той съхранява този маркер и го използва, за да получи достъп до тези подробности за профила ви в бъдеще. В зависимост от приложението, това може да се използва само за удостоверяване на самоличността ви, когато влизате, или за автоматично достъп до профила ви и за извършване на нещата във фонов режим. Например приложение на трета страна, което сканира профила ви в Gmail, може редовно да осъществява достъп до имейлите ви, за да може да ви изпрати уведомление, ако намери нещо.

    Как да преглеждате и отменяте достъп от приложения на трети страни

    Можете да преглеждате и управлявате списъка с уебсайтове и приложения на трети страни, които имат достъп до профила ви на уебсайта на всеки профил. Добра идея е да ги проверявате от време на време, тъй като някога сте имали достъп до вашата лична информация към дадена услуга, сте спрели да го използвате и сте забравили, че услугата все още има достъп. Ограничаването на услугите, които имат достъп до профила ви, може да помогне за защитата и личните ви данни.

    За по-подробна техническа информация за прилагането на OAuth посетете уебсайта на OAuth.