Τι είναι το OAuth; Πώς λειτουργούν τα κουμπιά σύνδεσης Facebook, Twitter και Google Sign-in
Αν έχετε χρησιμοποιήσει ποτέ ένα κουμπί "Σύνδεση με το Facebook" ή εάν έχετε πρόσβαση σε εφαρμογή τρίτου μέρους στο λογαριασμό σας στο Twitter, έχετε χρησιμοποιήσει το OAuth. Χρησιμοποιείται επίσης από την Google, τη Microsoft και το LinkedIn, καθώς και από πολλούς άλλους παρόχους λογαριασμού. Ουσιαστικά, το OAuth σάς επιτρέπει να παρέχετε σε έναν ιστότοπο πρόσβαση σε ορισμένες πληροφορίες σχετικά με το λογαριασμό σας χωρίς να του δώσετε τον πραγματικό κωδικό πρόσβασης του λογαριασμού σας.
OAuth για σύνδεση
Το OAuth έχει δύο κύριους σκοπούς στο διαδίκτυο αυτή τη στιγμή. Συχνά, χρησιμοποιείται για τη δημιουργία ενός λογαριασμού και την πιο εύκολη σύνδεση σε μια ηλεκτρονική υπηρεσία. Για παράδειγμα, αντί να δημιουργήσετε ένα νέο όνομα χρήστη και κωδικό πρόσβασης για το Spotify, μπορείτε να κάνετε κλικ ή να πατήσετε "Συνδεθείτε με το Facebook". Η υπηρεσία ελέγχει για να δει ποιοι είστε στο Facebook και δημιουργεί ένα νέο λογαριασμό για εσάς. Όταν συνδεθείτε σε αυτήν την υπηρεσία στο μέλλον, βλέπει ότι είστε συνδεδεμένοι με τον ίδιο λογαριασμό στο Facebook και σας δίνει πρόσβαση στον λογαριασμό σας. Δεν χρειάζεται να δημιουργήσετε νέο λογαριασμό ή κάτι - το Facebook σας επικυρώνει.
Αυτό είναι πολύ διαφορετικό από την απλή παροχή της υπηρεσίας κωδικό πρόσβασης στο λογαριασμό σας στο Facebook, ωστόσο. Η υπηρεσία δεν παίρνει ποτέ τον κωδικό πρόσβασης στο λογαριασμό σας στο Facebook ή την πλήρη πρόσβαση στο λογαριασμό σας. Μπορεί να δει μόνο μερικά περιορισμένα προσωπικά στοιχεία, όπως το όνομα και τη διεύθυνση ηλεκτρονικού ταχυδρομείου σας. Δεν είναι δυνατή η προβολή των ιδιωτικών μηνυμάτων σας ή της ανάρτησής σας στη χρονολογική σειρά σας.
Αυτά τα "Συνδεθείτε με Twitter", "Συνδεθείτε με το Google", "Συνδεθείτε με τη Microsoft", "Σύνδεση με LinkedIn" και άλλα παρόμοια κουμπιά για άλλες ιστοσελίδες λειτουργούν με τον ίδιο τρόπο, για
OAuth για εφαρμογές τρίτου μέρους
Το OAuth χρησιμοποιείται επίσης όταν οι εφαρμογές τρίτων προσφέρουν πρόσβαση σε λογαριασμούς όπως οι λογαριασμοί Twitter, Facebook, Google ή Microsoft. Επιτρέπει σε αυτές τις εφαρμογές τρίτων πρόσβαση σε τμήματα του λογαριασμού σας. Ωστόσο, δεν παίρνουν ποτέ τον κωδικό πρόσβασης του λογαριασμού σας. Κάθε εφαρμογή λαμβάνει ένα μοναδικό αναγνωριστικό πρόσβασης που περιορίζει την πρόσβαση που έχει για το λογαριασμό σας. Για παράδειγμα, μια εφαρμογή τρίτου μέρους για το Twitter μπορεί να έχει μόνο τη δυνατότητα να βλέπει τα tweets σας, αλλά να μην δημοσιεύει νέα tweets. Αυτό το μοναδικό διακριτικό πρόσβασης μπορεί να ανακληθεί στο μέλλον και μόνο αυτή η συγκεκριμένη εφαρμογή θα χάσει την πρόσβαση στο λογαριασμό σας.
Ως άλλο παράδειγμα, μπορείτε να δώσετε πρόσβαση σε μια εφαρμογή τρίτου μέρους μόνο στα μηνύματα ηλεκτρονικού ταχυδρομείου του Gmail, αλλά να την απαγορεύσετε να κάνετε οτιδήποτε άλλο με το λογαριασμό σας Google.
Αυτό είναι πολύ διαφορετικό από το να δίνετε απλά μια εφαρμογή τρίτου μέρους τον κωδικό πρόσβασης του λογαριασμού σας και να τον αφήσετε να συνδεθεί. Οι εφαρμογές περιορίζονται σε αυτό που μπορούν να κάνουν και αυτό το μοναδικό διακριτικό πρόσβασης σημαίνει ότι η πρόσβαση στο λογαριασμό μπορεί να ανακληθεί ανά πάσα στιγμή χωρίς να αλλάξετε την κύρια κωδικό πρόσβασης και χωρίς να καταργηθεί η πρόσβαση από άλλες εφαρμογές.
Πώς λειτουργεί το OAuth
Κατά πάσα πιθανότητα δεν θα εμφανιστεί η λέξη "OAuth" όταν την χρησιμοποιείτε. Οι ιστότοποι και οι εφαρμογές θα σας ζητήσουν να συνδεθείτε με το Facebook, το Twitter, το Google, τη Microsoft, το LinkedIn ή άλλο τύπο λογαριασμού.
Όταν επιλέγετε ένα λογαριασμό, θα κατευθυνθείτε στον ιστότοπο του παροχέα λογαριασμού, όπου θα πρέπει να συνδεθείτε με αυτόν τον λογαριασμό αν δεν είστε συνδεδεμένοι. Δεν χρειάζεται καν να εισαγάγετε έναν κωδικό πρόσβασης.
Βεβαιωθείτε ότι κατευθύνεστε στην πραγματική σύνδεση Facebook, Twitter, Google, Microsoft, LinkedIn ή οποιασδήποτε άλλης υπηρεσίας με ασφαλή σύνδεση HTTPS πριν πληκτρολογήσετε τον κωδικό πρόσβασής σας! Αυτό το τμήμα της διαδικασίας φαίνεται ώριμο για phishing, καθώς οι κακόβουλες ιστοσελίδες θα μπορούσαν να προσποιούνται ότι είναι ο δικτυακός τόπος της πραγματικής υπηρεσίας σε μια προσπάθεια να συλλάβει τον κωδικό πρόσβασής σας.
Ανάλογα με τον τρόπο λειτουργίας της υπηρεσίας, μπορεί να συνδεθείτε αυτόματα μόνο με λίγες προσωπικές πληροφορίες ή ενδέχεται να εμφανιστεί μια ερώτηση για να δοθεί πρόσβαση στην εφαρμογή σε ορισμένους λογαριασμούς σας. Μπορεί ακόμη και να επιλέξετε ποιες πληροφορίες θέλετε να δώσετε στην εφαρμογή πρόσβαση.
Αφού δώσετε πρόσβαση στην εφαρμογή, έχει γίνει. Η υπηρεσία της επιλογής σας δίνει στον ιστότοπο ή την εφαρμογή ένα μοναδικό αναγνωριστικό πρόσβασης. Αποθηκεύει αυτό το διακριτικό και το χρησιμοποιεί για να αποκτήσει πρόσβαση σε αυτές τις λεπτομέρειες σχετικά με το λογαριασμό σας στο μέλλον. Ανάλογα με την εφαρμογή, αυτό μπορεί να χρησιμοποιηθεί μόνο για να σας πιστοποιήσει κατά τη σύνδεσή σας ή για να αποκτήσετε αυτόματα πρόσβαση στο λογαριασμό σας και να κάνετε πράγματα στο παρασκήνιο. Για παράδειγμα, μια εφαρμογή τρίτου μέρους που ανιχνεύει το λογαριασμό σας στο Gmail μπορεί να αποκτά τακτικά πρόσβαση στα μηνύματα ηλεκτρονικού ταχυδρομείου, ώστε να μπορεί να σας στείλει ειδοποίηση εάν εντοπίσει κάτι.
Πώς να προβάλετε και να ακυρώσετε την πρόσβαση από εφαρμογές τρίτου μέρους
Μπορείτε να προβάλετε και να διαχειριστείτε τη λίστα ιστότοπων και εφαρμογών τρίτων με πρόσβαση στον λογαριασμό σας στον ιστότοπο κάθε λογαριασμού. Είναι καλή ιδέα να τα ελέγχετε από καιρό σε καιρό, καθώς ενδέχεται να έχετε δώσει μια φορά την πρόσβαση στις προσωπικές σας πληροφορίες σε μια υπηρεσία, να σταματήσετε να τη χρησιμοποιείτε και να ξεχάσετε ότι η υπηρεσία αυτή εξακολουθεί να έχει πρόσβαση. Ο περιορισμός των υπηρεσιών που έχουν πρόσβαση στον λογαριασμό σας μπορεί να σας βοηθήσει να το ασφαλίσετε και τα προσωπικά σας δεδομένα.
Για λεπτομερέστερες τεχνικές πληροφορίες σχετικά με την εφαρμογή του OAuth, επισκεφτείτε τον ιστότοπο του OAuth.
