Ako ste ikad upotrijebili gumb "Prijavite se s Facebookom" ili ste dobili pristup aplikaciji treće strane na svoj Twitter račun, koristili ste OAuth. Također ga koriste Google, Microsoft i LinkedIn, kao i mnogi drugi pružatelji računa. U osnovi, OAuth vam omogućuje dodjeljivanje pristupa web stranicama nekim informacijama o vašem računu bez davanja vaše stvarne zaporke računa.
OAuth trenutačno ima dvije glavne svrhe na webu. Često se upotrebljava za izradu računa i jednostavnije prijavljivanje na mrežnu uslugu. Na primjer, umjesto da stvorite novo korisničko ime i zaporku za Spotify, možete kliknuti ili dodirnuti "Prijavite se s Facebookom". Usluga provjerava tko ste na Facebooku i stvara novi račun za vas. Kada se ubuduće prijavite na tu uslugu, vidjet ćete da se prijavljujete s istim računom na Facebooku i omogućava vam pristup računu. Ne morate postaviti novi račun ni bilo što - umjesto toga, Facebook vas autentificira.
To je vrlo različito od jednostavnog davanja usluge zaporke za Facebook račun, međutim. Usluga nikad ne dobiva vašu zaporku Facebook računa ili puni pristup vašem računu. Može vidjeti samo nekoliko ograničenih osobnih podataka, poput vašeg imena i adrese e-pošte. Ne može vidjeti vaše privatne poruke ili post na vašoj vremenskoj traci.
Oni "Prijavite se s Twitterom", "Prijavite se uz Google", "Prijavite se s Microsoftom", "Prijavite se s LinkedInom" i ostali slični gumbi za druge web stranice rade na isti način,
OAuth se također koristi prilikom dodavanja aplikacija trećih strana u račune poput vaših Twitter, Facebook, Google ili Microsoft računa. Omogućuje tim aplikacijama treće strane pristup dijelovima vašeg računa. Međutim, nikada ne dobivaju zaporku računa. Svaka aplikacija dobiva jedinstveni pristupni tok koji ograničava pristup koji ima za vaš račun. Na primjer, aplikacija trećih strana za Twitter može imati samo mogućnost gledanja vaših tweetova, ali ne i postavljati nove tweete. Taj jedinstveni pristupni tok može se opozvati u budućnosti, a samo ta određena aplikacija izgubit će pristup vašem računu.
Kao drugi primjer, pristup aplikaciji treće strane možete dodati samo Gmailu e-pošte, ali ga ograničite na činjenje bilo čega s vašim Google računom.
To je vrlo različito od jednostavno davanja aplikacije trećih strana zaporku vašeg računa i omogućavanje prijave. Aplikacije su ograničene u onome što mogu učiniti, a taj jedinstveni pristupni tok znači da se pristup računu može opozvati u bilo kojem trenutku bez mijenjanja glavne zaporku i bez povlačenja pristupa s drugih aplikacija.
Vjerojatno nećete vidjeti riječ "OAuth" koja se pojavljuje svaki put kada ga upotrebljavate. Web stranice i aplikacije samo će vas tražiti da se prijavite svojim Facebookom, Twitterom, Googleom, Microsoftom, LinkedInom ili nekom drugom vrstom računa.
Kada odaberete račun, bit ćete usmjereni na web mjesto davatelja računa, gdje se morate prijaviti s tim računom ako niste trenutačno prijavljeni. Ako ste prijavljeni, Ne morate ni unijeti zaporku.
Pobrinite se da ste prije upisivanja svoje lozinke usmjerili na stvarne Facebook, Twitter, Google, Microsoft, LinkedIn ili bilo koju web stranicu druge usluge s sigurnom HTTPS vezom! Ovaj dio procesa izgleda zrno za krađu identiteta, jer se zlonamjerne web-lokacije mogu pretvarati da su web-lokacija stvarne službe u pokušaju da preuzmu vašu zaporku.
Ovisno o tome kako usluga funkcionira, možda ćete automatski biti prijavljeni s malo osobnih podataka ili ćete možda vidjeti zahtjev za pristup aplikaciji nekom od vašeg računa. Možda ćete čak moći odabrati koje informacije želite dati pristup aplikaciji.
Kada dodijelite pristup aplikaciji, to je učinjeno. Vaša usluga po izboru daje web mjestu ili aplikaciji jedinstveni pristupni token. Pohranjuje token i upotrebljava ga za pristup budućim podacima o vašem računu. Ovisno o aplikaciji, to se može koristiti samo za autentifikaciju kada se prijavite ili za automatsko pristupanje računu i obavljanje stvari u pozadini. Na primjer, aplikacija treće strane koja skenira vaš Gmail račun može redovito pristupiti vašoj e-pošti kako bi vam poslala obavijest ako pronađe nešto.
Možete pregledati i upravljati popisom web stranica i aplikacija trećih strana koji imaju pristup vašem računu na web stranicama svakog računa. Preporučujemo da ih s vremena na vrijeme provjerite jer ste nekoć davali pristup vašim osobnim podacima uslugama, prestali ih koristiti i zaboravili da usluga i dalje ima pristup. Ograničavanje usluga koje imaju pristup vašem računu može vam olakšati sigurnost i privatne podatke.
Detaljnije tehničke informacije o provedbi programa OAuth potražite na web mjestu OAuth.