OAuth là gì? Các nút đăng nhập Facebook, Twitter và Google hoạt động như thế nào
Nếu bạn đã từng sử dụng nút Đăng nhập bằng nút Facebook Facebook hoặc cấp cho ứng dụng của bên thứ ba quyền truy cập vào tài khoản Twitter của bạn, bạn đã sử dụng OAuth. Nó cũng được sử dụng bởi Google, Microsoft và LinkedIn, cũng như nhiều nhà cung cấp tài khoản khác. Về cơ bản, OAuth cho phép bạn cấp quyền truy cập trang web vào một số thông tin về tài khoản của bạn mà không cần cung cấp cho nó mật khẩu tài khoản thực của bạn.
OAuth để đăng nhập
OAuth có hai mục đích chính trên web tại thời điểm này. Thông thường, nó được sử dụng để tạo tài khoản và đăng nhập vào một dịch vụ trực tuyến thuận tiện hơn. Ví dụ: thay vì tạo tên người dùng và mật khẩu mới cho Spotify, bạn có thể nhấp hoặc nhấn vào Đăng nhập bằng Facebook Đăng nhập. Dịch vụ kiểm tra xem bạn là ai trên Facebook và tạo một tài khoản mới cho bạn. Khi bạn đăng nhập vào dịch vụ đó trong tương lai, nó sẽ thấy rằng bạn đăng nhập bằng cùng một tài khoản Facebook và cấp cho bạn quyền truy cập vào tài khoản của bạn. Bạn không cần thiết lập tài khoản mới hoặc bất cứ điều gì - Thay vào đó, Facebook xác thực bạn.
Tuy nhiên, điều này rất khác với việc cung cấp dịch vụ cho mật khẩu tài khoản Facebook của bạn. Dịch vụ không bao giờ lấy mật khẩu tài khoản Facebook của bạn hoặc truy cập đầy đủ vào tài khoản của bạn. Nó chỉ có thể xem một vài chi tiết cá nhân hạn chế, như tên và địa chỉ email của bạn. Nó không thể xem tin nhắn riêng tư của bạn hoặc đăng trên Dòng thời gian của bạn.
Những người đó đăng nhập bằng Twitter, Đăng nhập bằng Google, Đăng nhập bằng Microsoft, Đăng nhập bằng LinkedIn, và các nút tương tự khác cho các trang web khác hoạt động theo cách tương tự, để
OAuth cho các ứng dụng của bên thứ ba
OAuth cũng được sử dụng khi cấp cho ứng dụng của bên thứ ba quyền truy cập vào các tài khoản như tài khoản Twitter, Facebook, Google hoặc Microsoft của bạn. Nó cho phép các ứng dụng bên thứ ba này truy cập vào các phần của tài khoản của bạn. Tuy nhiên, họ không bao giờ có được mật khẩu tài khoản của bạn. Mỗi ứng dụng có một mã thông báo truy cập duy nhất giới hạn quyền truy cập mà tài khoản của bạn có. Ví dụ: ứng dụng của bên thứ ba cho Twitter có thể chỉ có khả năng xem các tweet của bạn chứ không đăng các tweet mới. Mã thông báo truy cập duy nhất đó có thể bị thu hồi trong tương lai và chỉ ứng dụng cụ thể đó mới mất quyền truy cập vào tài khoản của bạn.
Một ví dụ khác, bạn có thể chỉ cấp cho ứng dụng của bên thứ ba quyền truy cập vào email Gmail của bạn, nhưng hạn chế ứng dụng này làm bất cứ điều gì khác với tài khoản Google của bạn.
Điều này rất khác với việc chỉ cung cấp cho ứng dụng của bên thứ ba mật khẩu tài khoản của bạn và cho phép đăng nhập. Các ứng dụng bị giới hạn trong những gì họ có thể làm và mã thông báo truy cập duy nhất có nghĩa là quyền truy cập tài khoản có thể bị thu hồi bất cứ lúc nào mà không cần thay đổi chính mật khẩu và không thu hồi quyền truy cập từ các ứng dụng khác.
Cách thức hoạt động của OAuth
Có lẽ bạn sẽ không thấy từ "OAuth 'xuất hiện bất cứ khi nào bạn sử dụng nó. Các trang web và ứng dụng sẽ chỉ yêu cầu bạn đăng nhập bằng Facebook, Twitter, Google, Microsoft, LinkedIn hoặc loại tài khoản khác.
Khi bạn chọn một tài khoản, bạn sẽ được chuyển đến trang web của nhà cung cấp tài khoản, nơi bạn sẽ phải đăng nhập bằng tài khoản đó nếu bạn hiện không đăng nhập. Nếu bạn đã đăng nhập - thật tuyệt! Bạn thậm chí không phải nhập mật khẩu.
Đảm bảo bạn thực sự được chuyển đến Facebook, Twitter, Google, Microsoft, LinkedIn hoặc bất kỳ trang web nào của dịch vụ khác có kết nối HTTPS an toàn trước khi nhập mật khẩu của bạn! Phần này của quy trình có vẻ chín muồi cho lừa đảo, vì các trang web độc hại có thể giả vờ là trang web của dịch vụ thực sự trong nỗ lực chiếm lấy mật khẩu của bạn.
Tùy thuộc vào cách dịch vụ hoạt động, bạn có thể tự động đăng nhập bằng một chút thông tin cá nhân hoặc bạn có thể thấy lời nhắc cung cấp cho ứng dụng quyền truy cập vào một số tài khoản của bạn. Thậm chí, bạn có thể chọn thông tin nào bạn muốn cung cấp cho ứng dụng quyền truy cập vào.
Khi bạn đã cấp quyền truy cập ứng dụng, thế là xong. Dịch vụ lựa chọn của bạn cung cấp cho trang web hoặc ứng dụng một mã thông báo truy cập duy nhất. Nó lưu trữ mã thông báo đó và sử dụng nó để có quyền truy cập vào các chi tiết này về tài khoản của bạn trong tương lai. Tùy thuộc vào ứng dụng, điều này chỉ có thể được sử dụng để xác thực bạn khi bạn đăng nhập hoặc để tự động truy cập vào tài khoản của bạn và thực hiện mọi việc trong nền. Ví dụ: ứng dụng của bên thứ ba quét tài khoản Gmail của bạn có thể thường xuyên truy cập email của bạn để ứng dụng có thể gửi cho bạn một thông báo nếu tìm thấy thứ gì đó.
Cách xem và thu hồi quyền truy cập từ các ứng dụng của bên thứ ba
Bạn có thể xem và quản lý danh sách các trang web và ứng dụng của bên thứ ba có quyền truy cập vào tài khoản của bạn trên mỗi trang web của tài khoản. Thỉnh thoảng nên kiểm tra những điều này, vì bạn có thể đã từng cấp quyền truy cập thông tin cá nhân của mình cho một dịch vụ, ngừng sử dụng và quên rằng dịch vụ vẫn có quyền truy cập. Giới hạn các dịch vụ có quyền truy cập vào tài khoản của bạn có thể giúp bảo mật tài khoản và dữ liệu riêng tư của bạn.
Để biết thêm thông tin kỹ thuật chi tiết về việc triển khai OAuth, hãy truy cập trang web của OAuth.