מה זה OAuth? איך פייסבוק, טוויטר, ו- Google לחצני כניסה לעבודה
אם השתמשת פעם בלחצן 'כניסה באמצעות Facebook', או אם קיבלת גישה של צד שלישי לחשבון Twitter שלך, השתמשת ב- OAuth. הוא משמש גם את Google, Microsoft ו- LinkedIn, כמו גם ספקי חשבון רבים אחרים. למעשה, OAuth מאפשר לך להעניק גישה לאתר כלשהו למידע על חשבונך מבלי לתת לו את סיסמת החשבון שלך בפועל.
OAuth עבור כניסה
ל- OAuth יש שתי מטרות עיקריות באינטרנט כרגע. לעתים קרובות, הוא משמש ליצירת חשבון וחתימה לשירות מקוון בצורה נוחה יותר. לדוגמה, במקום ליצור שם משתמש וסיסמה חדשים עבור Spotify, תוכל ללחוץ או ללחוץ על 'כניסה באמצעות Facebook'. השירות בודק לראות מי אתה בפייסבוק ויוצר חשבון חדש עבורך. כאשר אתה נכנס לשירות זה בעתיד, הוא רואה שאתה מחובר באמצעות אותו חשבון Facebook ומעניק לך גישה לחשבון שלך. אתה לא צריך להגדיר חשבון חדש או משהו - פייסבוק מאמת אותך במקום.
זה שונה מאוד פשוט לתת את השירות שלך את הסיסמה חשבון פייסבוק, עם זאת. השירות לעולם לא יקבל את סיסמת חשבון הפייסבוק שלך או גישה מלאה לחשבון שלך. הוא יכול להציג רק פרטים אישיים מוגבלים, כגון השם וכתובת האימייל שלך. זה לא יכול להציג את ההודעות הפרטיות שלך או לכתוב על ציר הזמן שלך.
אלה "כניסה עם טוויטר", "כניסה עם גוגל", "כניסה עם מיקרוסופט", "כניסה עם LinkedIn", ועוד לחצנים דומים עבור אתרי אינטרנט אחרים לעבוד באותה דרך, כדי
OAuth עבור יישומי צד שלישי
OAuth משמש גם בעת מתן אפליקציות של צד שלישי לחשבונות כגון חשבונות Twitter, Facebook, Google או Microsoft. הוא מאפשר ליישומים אלה של צד שלישי לגשת לחלקים בחשבונך. עם זאת, הם לעולם לא מקבלים את סיסמת החשבון שלך. כל יישום מקבל אסימון גישה ייחודי המגביל את הגישה שלו לחשבון שלך. לדוגמה, יישום של צד שלישי עבור טוויטר יכול רק לקבל את היכולת להציג את tweets שלך, אבל לא לכתוב tweets חדש. ניתן לבטל את אסימון הגישה הייחודי הזה בעתיד, ורק האפליקציה הספציפית הזו תאבד את הגישה לחשבון שלך.
כדוגמה נוספת, תוכל לתת ליישום צד שלישי גישה רק לדוא"ל שלך ב- Gmail, אך להגביל אותו לעשות כל דבר אחר באמצעות חשבון Google שלך.
זה שונה מאוד מ פשוט נותן צד שלישי יישום סיסמת החשבון שלך ולתת לו להיכנס. היישומים מוגבלים במה שהם יכולים לעשות, וכי אסימון גישה ייחודית פירושו גישה לחשבון ניתן לבטל בכל עת מבלי לשנות את הראשי שלך סיסמה ובלי לבטל גישה מאפליקציות אחרות.
איך עובד OAuth
אתה כנראה לא רואה את המילה "OAuth" להופיע בכל פעם שאתה משתמש בו. אתרים ואפליקציות פשוט יבקשו ממך להיכנס באמצעות Facebook, Twitter, Google, Microsoft, LinkedIn או סוג חשבון אחר.
כאשר אתה בוחר חשבון, תועבר לאתר של ספק החשבון, שבו יהיה עליך להיכנס באמצעות חשבון זה אם אינך מחובר כעת. אם אתה מחובר לחשבון נהדר! אתה אפילו לא צריך להזין סיסמה.
ודא שאתה מכוון בפועל אל פייסבוק אמיתי, טוויטר, גוגל, מיקרוסופט, LinkedIn, או כל אתר שירות אחר עם חיבור HTTPS מאובטח לפני הקלדת הסיסמה שלך! חלק זה של התהליך נראה בשל דיוג, שכן אתרי אינטרנט זדוניים יכול להעמיד פנים שהוא האתר האמיתי של שירות בניסיון ללכוד את הסיסמה שלך.
בהתאם לאופן שבו השירות פועל, ייתכן שתיכנס באופן אוטומטי עם מעט פרטים אישיים, או שתראה הנחיה לתת גישה ליישום לחלק מחשבונך. ייתכן שתוכל גם לבחור איזה מידע ברצונך להעניק ליישום.
לאחר שתספק את הגישה לאפליקציה, זה ייגמר. השירות של בחירה נותן את האתר או יישום אסימון גישה ייחודית. היא מאחסנת את האסימון ומשתמשת בו כדי לקבל גישה לפרטים אלה על החשבון שלך בעתיד. בהתאם ליישום, ניתן להשתמש בו רק כדי לאמת אותך בעת הכניסה, או לגשת באופן אוטומטי לחשבונך ולעשות דברים ברקע. לדוגמה, יישום של צד שלישי שסורק את חשבון Gmail שלך עשוי לגשת באופן קבוע לדוא"ל שלך כדי שיוכל לשלוח לך הודעה אם הוא מוצא משהו.
כיצד להציג ולבטל גישה של יישומי צד שלישי
תוכל להציג ולנהל את רשימת האתרים והיישומים של צד שלישי שיש להם גישה לחשבון שלך בכל אתר אינטרנט. זה רעיון טוב לבדוק את אלה מעת לעת, כפי שאולי פעם נתן גישה למידע האישי שלך לשירות, הפסיק להשתמש בו, ושכח כי השירות עדיין יש גישה. הגבלת השירותים שיש להם גישה לחשבון שלך יכולה לעזור לאבטח אותו ואת הנתונים הפרטיים שלך.
לקבלת מידע טכני מפורט יותר אודות יישום OAuth, בקר באתר האינטרנט של OAuth.