Se você já usou um botão “Sign In With Facebook”, ou deu a um aplicativo de terceiros acesso à sua conta do Twitter, você usou o OAuth. Também é usado pelo Google, Microsoft e LinkedIn, bem como por muitos outros provedores de contas. Essencialmente, o OAuth permite que você conceda a um site acesso a algumas informações sobre sua conta sem fornecer a senha real da conta.
Índice
OAuth para fazer login
O OAuth tem dois propósitos principais na web no momento. Freqüentemente, é usado para criar uma conta e entrar em um serviço online de forma mais conveniente. Por exemplo, em vez de criar um novo nome de usuário e senha para o Spotify, você pode clicar ou tocar em “Sign In With Facebook”. O serviço verifica quem você é no Facebook e cria uma nova conta para você. Quando você entra nesse serviço no futuro, ele vê que você está entrando com a mesma conta do Facebook e dá acesso à sua conta. Você não precisa configurar uma nova conta nem nada – o Facebook autentica você.
Isso é muito diferente de simplesmente fornecer ao serviço a senha da sua conta do Facebook. O serviço nunca obtém a senha da sua conta do Facebook ou acesso total à sua conta. Ele só pode ver alguns detalhes pessoais limitados, como seu nome e endereço de e-mail. Ele não pode ver suas mensagens privadas ou postar em sua linha do tempo.
Aqueles “Sign In With Twitter”, “Sign In With Google”, “Sign In With Microsoft”, “Sign In With LinkedIn” e outros botões semelhantes para outros sites funcionam da mesma maneira, para
OAuth para aplicativos de terceiros
O OAuth também é usado ao fornecer acesso de aplicativos de terceiros a contas como Twitter, Facebook, Google ou contas da Microsoft. Ele permite que esses aplicativos de terceiros acessem partes de sua conta. No entanto, eles nunca obtêm a senha da sua conta. Cada aplicativo obtém um token de acesso exclusivo que limita o acesso de sua conta. Por exemplo, um aplicativo de terceiros para o Twitter pode ter apenas a capacidade de visualizar seus tweets, mas não postar novos tweets. Esse token de acesso exclusivo pode ser revogado no futuro e apenas esse aplicativo específico perderá o acesso à sua conta.
Como outro exemplo, você pode conceder a um aplicativo de terceiros acesso apenas aos seus e-mails do Gmail, mas impedi-lo de fazer qualquer outra coisa com sua conta do Google.
Isso é muito diferente de simplesmente fornecer a um aplicativo de terceiros a senha da sua conta e permitir que ele faça login. Os aplicativos são limitados quanto ao que podem fazer, e esse token de acesso exclusivo significa que o acesso à conta pode ser revogado a qualquer momento sem alterar seu código principal senha e sem revogar o acesso de outros aplicativos.
Como funciona o OAuth
Você provavelmente não verá a palavra “OAuth” aparecer sempre que o estiver usando. Sites e aplicativos apenas solicitarão que você entre com sua conta do Facebook, Twitter, Google, Microsoft, LinkedIn ou outro tipo de conta.
Ao escolher uma conta, você será direcionado ao site do provedor da conta, onde terá que entrar com essa conta se não estiver conectado no momento. Se você estiver conectado – ótimo! Você nem precisa inserir uma senha.
Certifique-se de que você está realmente direcionado para o verdadeiro Facebook, Twitter, Google, Microsoft, LinkedIn ou qualquer outro site de serviço com uma conexão HTTPS segura antes de digitar sua senha! Esta parte do processo parece madura para phishing, já que sites maliciosos podem fingir ser o site do serviço real em uma tentativa de capturar sua senha.
Dependendo de como o serviço funciona, você pode apenas fazer login automaticamente com algumas informações pessoais ou pode ver um prompt para conceder ao aplicativo acesso a parte de sua conta. Você pode até escolher quais informações deseja conceder ao aplicativo.
Depois de conceder acesso ao aplicativo, está feito. O serviço de sua escolha fornece ao site ou aplicativo um token de acesso exclusivo. Ele armazena esse token e o usa para obter acesso a esses detalhes sobre sua conta no futuro. Dependendo do aplicativo, isso pode ser usado apenas para autenticá-lo quando você entrar ou para acessar automaticamente sua conta e fazer coisas em segundo plano. Por exemplo, um aplicativo de terceiros que verifica sua conta do Gmail pode acessar regularmente seus e-mails para que possa enviar uma notificação se encontrar algo.
Como visualizar e revogar o acesso de aplicativos de terceiros
Você pode visualizar e gerenciar a lista de sites e aplicativos de terceiros que têm acesso à sua conta em cada site da conta. É uma boa ideia verificar essas informações de tempos em tempos, pois você pode ter concedido acesso às suas informações pessoais a um serviço, parou de usá-lo e esqueceu que o serviço ainda tem acesso. Limitar os serviços que têm acesso à sua conta pode ajudar a protegê-la e aos seus dados privados.
Para obter informações técnicas mais detalhadas sobre a implementação do OAuth, visite o site do OAuth .
