Pagina inicial » como » O que é o OAuth? Como funcionam esses botões de login do Facebook, Twitter e Google

    O que é o OAuth? Como funcionam esses botões de login do Facebook, Twitter e Google

    Se você já usou um botão "Entrar com o Facebook" ou recebeu um acesso de aplicativo de terceiros à sua conta do Twitter, usou o OAuth. Ele também é usado pelo Google, Microsoft e LinkedIn, além de muitos outros provedores de contas. Essencialmente, o OAuth permite que você conceda a um site acesso a algumas informações sobre sua conta sem fornecer a senha real da sua conta..

    OAuth para fazer login

    OAuth tem dois objetivos principais na web no momento. Muitas vezes, é usado para criar uma conta e entrar em um serviço online de forma mais conveniente. Por exemplo, em vez de criar um novo nome de usuário e senha para o Spotify, você pode clicar ou tocar em "Entrar com o Facebook". O serviço verifica quem você é no Facebook e cria uma nova conta para você. Quando você fizer login nesse serviço no futuro, verá que você está conectado com a mesma conta do Facebook e dá acesso à sua conta. Você não precisa configurar uma nova conta ou qualquer coisa - o Facebook autentica você.

    Isso é muito diferente de simplesmente dar ao serviço sua senha da conta do Facebook, no entanto. O serviço nunca recebe sua senha da conta do Facebook ou acesso total à sua conta. Só pode ver alguns detalhes pessoais limitados, como o seu nome e endereço de email. Não é possível ver suas mensagens particulares ou postar na sua linha do tempo.

    Aqueles "Entrar com o Twitter", "Entrar com o Google", "Entrar com a Microsoft", "Entrar com o LinkedIn" e outros botões semelhantes para outros sites funcionam da mesma maneira, para

    OAuth para aplicativos de terceiros

    O OAuth também é usado ao conceder a aplicativos de terceiros acesso a contas como suas contas do Twitter, Facebook, Google ou Microsoft. Ele permite que esses aplicativos de terceiros acessem partes de sua conta. No entanto, eles nunca recebem a senha da sua conta. Cada aplicativo recebe um token de acesso exclusivo que limita o acesso que ele tem para sua conta. Por exemplo, um aplicativo de terceiros para o Twitter só pode ter a capacidade de visualizar seus tweets, mas não postar novos tweets. Esse token de acesso exclusivo pode ser revogado no futuro e somente esse aplicativo específico perderá o acesso à sua conta.

    Como outro exemplo, você pode conceder a um aplicativo de terceiros acesso apenas aos seus e-mails do Gmail, mas impedi-lo de fazer qualquer outra coisa com sua conta do Google..

    Isso é muito diferente de simplesmente fornecer a um aplicativo de terceiros a senha da conta e permitir que ele faça login. Os aplicativos são limitados naquilo que podem fazer e esse token de acesso exclusivo significa que o acesso à conta pode ser revogado a qualquer momento sem alterar senha e sem revogar o acesso de outros aplicativos.

    Como funciona o OAuth

    Você provavelmente não verá a palavra "OAuth" aparecer sempre que estiver usando. Websites e aplicativos solicitarão que você faça login com seu Facebook, Twitter, Google, Microsoft, LinkedIn ou outro tipo de conta.

    Ao escolher uma conta, você será direcionado para o site do provedor da conta, onde deverá fazer login com essa conta se não estiver conectado no momento. Se você tiver feito login, ótimo! Você não precisa nem digitar uma senha.

    Certifique-se de que você está realmente direcionado para o Facebook real, Twitter, Google, Microsoft, LinkedIn ou qualquer outro site de serviço com uma conexão HTTPS segura antes de digitar sua senha! Essa parte do processo parece estar madura para o phishing, pois sites maliciosos podem fingir ser o site do serviço real na tentativa de capturar sua senha.

    Dependendo de como o serviço funciona, você pode ser conectado automaticamente com um pouco de informações pessoais ou um prompt para permitir que o aplicativo acesse algumas de suas contas. Você pode até mesmo ser capaz de escolher quais informações você quer dar ao aplicativo acesso a.

    Depois de dar o acesso ao aplicativo, pronto. Seu serviço de escolha dá ao site ou aplicativo um token de acesso exclusivo. Ele armazena esse token e o usa para obter acesso a esses detalhes sobre sua conta no futuro. Dependendo do aplicativo, isso pode ser usado apenas para autenticá-lo quando você faz login ou para acessar automaticamente sua conta e fazer coisas em segundo plano. Por exemplo, um aplicativo de terceiros que verifica sua conta do Gmail pode acessar regularmente seus e-mails para que ele possa enviar uma notificação se encontrar algo.

    Como exibir e revogar o acesso de aplicativos de terceiros

    Você pode visualizar e gerenciar a lista de sites e aplicativos de terceiros que têm acesso à sua conta no site de cada conta. É uma boa ideia verificar isso de tempos em tempos, já que você pode ter dado acesso às suas informações pessoais a um serviço, parou de usá-lo e esqueceu que o serviço ainda tem acesso. Limitar os serviços que têm acesso à sua conta pode ajudar a protegê-lo e a seus dados privados.

    Para obter informações técnicas mais detalhadas sobre como implementar o OAuth, visite o site da OAuth.