Se você já usou um botão “Iniciar sessão com o Facebook”, ou dado um acesso de aplicativo de terceiros à sua conta do Twitter, você usou OAuth. Também é usado pelo Google, Microsoft e LinkedIn, bem como por muitos outros fornecedores de contas.Essencialmente, a OAuth permite que você conceda acesso a um site a algumas informações sobre sua conta sem lhe dar sua senha de conta atual.

OAuth para fazer login

OAuth tem dois propósitos principais na web no momento. Muitas vezes, ele é usado para criar uma conta e fazer login em um serviço online de forma mais conveniente. Por exemplo, em vez de criar um novo nome de usuário e senha para o Spotify, você pode clicar ou tocar em “Iniciar sessão com o Facebook”. O serviço verifica quem você está no Facebook e cria uma nova conta para você. Quando você entrar nesse serviço no futuro, ele vê que você faz login com a mesma conta do Facebook e dá acesso a sua conta. Você não precisa configurar uma nova conta ou nada – o Facebook autentica você.

Isso é muito diferente de simplesmente dar o serviço de senha da sua conta do Facebook, no entanto. O serviço nunca recebe a senha da sua conta do Facebook ou o acesso total à sua conta. Ele só pode ver alguns detalhes pessoais limitados, como seu nome e endereço de e-mail. Não pode ver suas mensagens privadas ou publicar na sua Linha do tempo.

Os “Iniciar sessão com o Twitter”, “Iniciar sessão com o Google”, “Iniciar sessão com a Microsoft”, “Iniciar sessão com o LinkedIn” e outros botões similares para outros sites funcionam da mesma forma,

OAuth para Aplicações de Terceiros

OAuth também é usado ao dar acesso de aplicativos de terceiros a contas como suas contas do Twitter, Facebook, Google ou Microsoft. Permite que esses aplicativos de terceiros acessem partes de sua conta. No entanto, eles nunca recebem a senha da sua conta. Cada aplicativo obtém um token de acesso exclusivo que limita o acesso que possui para sua conta. Por exemplo, um aplicativo de terceiros para o Twitter só pode ter a capacidade de visualizar seus tweets, mas não publicar novos tweets. Esse token de acesso exclusivo pode ser revogado no futuro, e somente esse aplicativo específico perderá o acesso à sua conta.

Como outro exemplo, você pode fornecer um aplicativo de terceiros para acessar apenas seus e-mails do Gmail, mas restringi-lo de fazer qualquer outra coisa com sua conta do Google.

Isso é muito diferente de simplesmente dar a uma aplicação de terceiros sua senha de conta e permitir que ela faça login. As aplicações são limitadas no que podem fazer e esse token de acesso exclusivo significa que o acesso à conta pode ser revogado a qualquer momento sem alterar sua principal Senha e sem revogar o acesso de outros aplicativos.

Como OAuth funciona

Você provavelmente não verá a palavra “OAuth” aparecer sempre que estiver usando.Os sites e aplicativos apenas solicitarão que você faça login com seu Facebook, Twitter, Google, Microsoft, LinkedIn ou outro tipo de conta.

Quando você escolhe uma conta, você será direcionado para o site do provedor de conta, onde você terá que fazer login com essa conta se você não estiver iniciado no momento. Se você está logado, ótimo! Você nem precisa inserir uma senha.

Certifique-se de que você realmente é direcionado ao Facebook, Twitter, Google, Microsoft, LinkedIn ou o site de qualquer outro serviço com uma conexão HTTPS segura antes de digitar sua senha! Esta parte do processo parece estar pronta para o phishing, pois sites maliciosos podem pretender ser o site do serviço real na tentativa de capturar sua senha.

Dependendo de como o serviço funciona, você pode simplesmente fazer login automaticamente com um pouco de informações pessoais, ou você pode ver um prompt para dar acesso ao aplicativo em algumas de suas contas. Você pode até mesmo escolher quais as informações para as quais deseja acessar o aplicativo.

Depois de ter dado o acesso ao aplicativo, está pronto. Seu serviço de escolha fornece ao site ou aplicativo um token de acesso exclusivo. Ele armazena esse token e o usa para obter acesso a esses detalhes sobre sua conta no futuro. Dependendo do aplicativo, isso pode ser usado apenas para autenticar você quando você fizer login, ou para acessar automaticamente sua conta e fazer coisas em segundo plano. Por exemplo, um aplicativo de terceiros que verifica sua conta do Gmail pode acessar regularmente seus e-mails para que ele possa enviar uma notificação se encontrar alguma coisa.

Como visualizar e revogar o acesso de aplicativos de terceiros

Você pode visualizar e gerenciar a lista de sites e aplicativos de terceiros que tenham acesso à sua conta no site de cada conta. É uma boa idéia verificar isso de tempos em tempos, como você pode ter dado acesso às suas informações pessoais a um serviço, parou de usá-lo e esquecido que o serviço ainda tem acesso. Limitar os serviços que têm acesso à sua conta pode ajudar a protegê-lo e seus dados privados.

Para obter informações técnicas mais detalhadas sobre a implementação do OAuth, visite o site da OAuth .

Anúncios