Apa itu OAuth? Cara Kerja Butang Facebook, Twitter, dan Google Log masuk
Jika anda pernah menggunakan butang "Masuk Dengan Facebook", atau diberi akses aplikasi pihak ketiga ke akaun Twitter anda, anda telah menggunakan OAuth. Ia juga digunakan oleh Google, Microsoft, dan LinkedIn, serta banyak penyedia akaun lain. Pada dasarnya, OAuth membolehkan anda memberikan akses laman web kepada beberapa maklumat mengenai akaun anda tanpa memberikan kata laluan akaun sebenar anda.
OAuth untuk Masuk
OAuth mempunyai dua tujuan utama di web pada masa ini. Sering kali, ia digunakan untuk membuat akaun dan melog masuk ke dalam perkhidmatan dalam talian dengan lebih mudah. Sebagai contoh, daripada membuat nama pengguna dan kata laluan baru untuk Spotify, anda boleh mengklik atau ketik "Masuk Dengan Facebook". Cek perkhidmatan untuk melihat siapa anda di Facebook dan membuat akaun baru untuk anda. Apabila anda melog masuk ke perkhidmatan tersebut pada masa hadapan, ia melihat bahawa anda log masuk dengan akaun Facebook yang sama dan memberikan anda akses ke akaun anda. Anda tidak perlu menyiapkan akaun baru atau apa saja-Facebook mengesahkan anda sebaliknya.
Ini sangat berbeza dari hanya memberi perkhidmatan kata laluan akaun Facebook anda, bagaimanapun. Perkhidmatan ini tidak pernah mendapat kata laluan akaun Facebook anda atau akses penuh ke akaun anda. Ia hanya boleh melihat beberapa butiran peribadi terhad, seperti nama dan alamat e-mel anda. Ia tidak dapat melihat mesej peribadi anda atau siarkan pada Timeline anda.
Mereka "Masuk Dengan Twitter", "Masuk Dengan Google", "Masuk Dengan Microsoft", "Masuk Dengan LinkedIn", dan butang serupa lain untuk laman web lain berfungsi dengan cara yang sama,
OAuth untuk Aplikasi Pihak Ketiga
OAuth juga digunakan apabila memberikan akses aplikasi pihak ketiga ke akaun seperti akaun Twitter, Facebook, Google, atau Microsoft anda. Ia membolehkan akses aplikasi pihak ketiga ini ke bahagian akaun anda. Walau bagaimanapun, mereka tidak akan mendapat kata laluan akaun anda. Setiap aplikasi mendapat token akses unik yang menghadkan akses yang ada untuk akaun anda. Sebagai contoh, aplikasi pihak ketiga untuk Twitter mungkin hanya mempunyai keupayaan untuk melihat tweet anda, tetapi tidak menghantar tweet baru. Tokoh akses unik itu boleh dibatalkan pada masa akan datang, dan hanya aplikasi tertentu yang akan kehilangan akses ke akaun anda.
Contoh lain, anda mungkin memberikan akses aplikasi pihak ketiga kepada hanya e-mel Gmail anda, tetapi menyekatnya daripada melakukan apa-apa lagi dengan akaun Google anda.
Ini sangat berbeza dengan hanya memberikan aplikasi pihak ketiga kata laluan akaun anda dan membiarkannya masuk. Aplikasi adalah terhad dalam apa yang boleh mereka lakukan dan token akses yang unik bermaksud akses akaun boleh dibatalkan pada bila-bila masa tanpa menukar utama anda kata laluan dan tanpa membatalkan akses dari aplikasi lain.
Bagaimana OAuth berfungsi
Anda mungkin tidak akan melihat perkataan "OAuth" muncul apabila anda menggunakannya. Tapak web dan aplikasi hanya meminta anda untuk melog masuk dengan Facebook, Twitter, Google, Microsoft, LinkedIn, atau jenis akaun yang lain.
Apabila anda memilih akaun, anda akan diarahkan ke laman web penyedia akaun, di mana anda perlu log masuk dengan akaun tersebut jika anda tidak dilog masuk pada masa ini. Jika anda dilog masuk dengan hebat! Anda tidak perlu memasukkan kata laluan.
Pastikan anda benar-benar diarahkan ke Facebook, Twitter, Google, Microsoft, LinkedIn, atau apa sahaja laman web perkhidmatan lain dengan sambungan HTTPS yang selamat sebelum menaip kata laluan anda! Bahagian ini seolah-olah masak untuk phishing, kerana laman web berniat jahat boleh berpura-pura menjadi laman web perkhidmatan sebenar dalam usaha untuk menangkap kata laluan anda.
Bergantung pada bagaimana perkhidmatan berfungsi, anda hanya akan dilog masuk secara automatik dengan sedikit maklumat peribadi, atau anda mungkin melihat gesaan untuk memberi akses aplikasi ke beberapa akaun anda. Anda mungkin boleh memilih maklumat yang anda ingin akses kepada aplikasi.
Sebaik sahaja anda telah memberikan akses aplikasinya, ia selesai. Pilihan pilihan anda memberikan tapak web atau aplikasi sebagai tanda akses yang unik. Ia menyimpan tanda itu dan menggunakannya untuk mendapatkan akses kepada butiran ini tentang akaun anda pada masa akan datang. Bergantung pada aplikasi, ini hanya boleh digunakan untuk mengesahkan anda semasa anda melog masuk, atau untuk mengakses akaun anda secara automatik dan melakukan perkara di latar belakang. Contohnya, aplikasi pihak ketiga yang mengimbas akaun Gmail anda secara tetap boleh mengakses e-mel anda supaya ia dapat menghantar pemberitahuan kepada anda jika terdapat sesuatu.
Cara Lihat dan Batalkan Akses Dari Aplikasi Pihak Ketiga
Anda boleh melihat dan mengurus senarai tapak web dan aplikasi pihak ketiga yang mempunyai akses ke akaun anda di setiap laman web akaun. Adalah idea yang baik untuk memeriksa ini dari semasa ke semasa, kerana anda mungkin pernah memberikan akses kepada maklumat peribadi anda kepada perkhidmatan, berhenti menggunakannya, dan terlupa perkhidmatan itu masih mempunyai akses. Mengehadkan perkhidmatan yang mempunyai akses ke akaun anda boleh membantu mengamankannya dan data peribadi anda.
Untuk maklumat teknikal yang lebih terperinci mengenai pelaksanaan OAuth, lawati laman web OAuth.