OAuth là gì? Cách các nút Đăng nhập bằng Facebook, Twitter và Google hoạt động
Video: OAuth là gì? Cách các nút Đăng nhập bằng Facebook, Twitter và Google hoạt động
Video: Solar Eclipse Photography with Stan Honda - YouTube 2024, Tháng tư
2024 Tác giả: Geoffrey Carr | [email protected]. Sửa đổi lần cuối: 2023-12-17 11:02
Nếu bạn đã từng sử dụng nút “Đăng nhập bằng Facebook” hoặc được cấp quyền truy cập ứng dụng của bên thứ ba vào tài khoản Twitter của mình, bạn đã sử dụng OAuth. Nó cũng được sử dụng bởi Google, Microsoft và LinkedIn, cũng như nhiều nhà cung cấp tài khoản khác. Về cơ bản, OAuth cho phép bạn cấp quyền truy cập trang web cho một số thông tin về tài khoản của bạn mà không cung cấp cho nó mật khẩu tài khoản thực của bạn.
OAuth để đăng nhập
OAuth có hai mục đích chính trên web vào lúc này. Thông thường, nó được sử dụng để tạo tài khoản và đăng nhập vào dịch vụ trực tuyến thuận tiện hơn. Ví dụ: thay vì tạo tên người dùng và mật khẩu mới cho Spotify, bạn có thể nhấp hoặc nhấn vào “Đăng nhập bằng Facebook”. Dịch vụ này sẽ kiểm tra xem bạn là ai trên Facebook và tạo một tài khoản mới cho bạn. Khi bạn đăng nhập vào dịch vụ đó trong tương lai, bạn sẽ thấy rằng bạn đăng nhập bằng cùng một tài khoản Facebook và cho phép bạn truy cập vào tài khoản của mình. Bạn không cần thiết lập tài khoản mới hoặc bất kỳ thứ gì - Facebook xác thực bạn thay thế.
Điều này rất khác với việc chỉ cung cấp dịch vụ mật khẩu tài khoản Facebook của bạn. Dịch vụ không bao giờ nhận mật khẩu tài khoản Facebook của bạn hoặc toàn quyền truy cập vào tài khoản của bạn. Nó chỉ có thể xem một số chi tiết cá nhân giới hạn, như tên và địa chỉ email của bạn. Nó không thể xem tin nhắn cá nhân của bạn hoặc đăng trên Dòng thời gian của bạn.
Những "Đăng nhập bằng Twitter", "Đăng nhập bằng Google", "Đăng nhập bằng Microsoft", "Đăng nhập bằng LinkedIn" và các nút tương tự khác cho các trang web khác hoạt động theo cùng một cách,
OAuth cho ứng dụng của bên thứ ba
OAuth cũng được sử dụng khi cấp cho các ứng dụng của bên thứ ba quyền truy cập vào các tài khoản như tài khoản Twitter, Facebook, Google hoặc Microsoft của bạn. Nó cho phép các ứng dụng của bên thứ ba này truy cập vào các phần trong tài khoản của bạn. Tuy nhiên, họ không bao giờ nhận được mật khẩu tài khoản của bạn. Mỗi ứng dụng nhận được mã thông báo truy cập duy nhất giới hạn quyền truy cập mà nó có cho tài khoản của bạn. Ví dụ: ứng dụng của bên thứ ba cho Twitter có thể chỉ có khả năng xem các tweet của bạn, nhưng không đăng các tweet mới. Mã thông báo truy cập duy nhất đó có thể bị thu hồi trong tương lai và chỉ ứng dụng cụ thể đó sẽ mất quyền truy cập vào tài khoản của bạn.
Một ví dụ khác, bạn có thể cấp cho ứng dụng của bên thứ ba quyền truy cập vào chỉ các email Gmail của bạn, nhưng hạn chế nó làm bất cứ điều gì khác với tài khoản Google của bạn.
Điều này rất khác với việc cho phép ứng dụng bên thứ ba mật khẩu tài khoản của bạn và cho phép đăng nhập. Ứng dụng bị giới hạn trong những gì họ có thể làm và mã thông báo truy cập duy nhất nghĩa là quyền truy cập tài khoản có thể bị thu hồi bất kỳ lúc nào mà không thay đổi chính của bạn mật khẩu và không thu hồi quyền truy cập từ các ứng dụng khác.
Cách hoạt động của OAuth
Có thể bạn sẽ không thấy từ “OAuth” xuất hiện bất cứ khi nào bạn sử dụng. Các trang web và ứng dụng sẽ yêu cầu bạn đăng nhập bằng Facebook, Twitter, Google, Microsoft, LinkedIn hoặc loại tài khoản khác của bạn.
Khi bạn chọn một tài khoản, bạn sẽ được chuyển đến trang web của nhà cung cấp tài khoản, nơi bạn sẽ phải đăng nhập bằng tài khoản đó nếu bạn hiện chưa đăng nhập. Nếu bạn đã đăng nhập - tuyệt vời! Bạn thậm chí không phải nhập mật khẩu.
Đảm bảo bạn thực sự được chuyển hướng đến Facebook, Twitter, Google, Microsoft, LinkedIn hoặc bất kỳ trang web dịch vụ nào khác có kết nối HTTPS an toàn trước khi nhập mật khẩu của bạn! Phần này của quá trình có vẻ chín muồi đối với lừa đảo, vì các trang web độc hại có thể giả vờ là trang web của dịch vụ thực sự trong nỗ lực nắm bắt mật khẩu của bạn.
Tùy thuộc vào cách dịch vụ hoạt động, bạn có thể tự động đăng nhập bằng một chút thông tin cá nhân hoặc bạn có thể thấy lời nhắc cung cấp cho ứng dụng quyền truy cập vào một số tài khoản của bạn. Bạn thậm chí có thể chọn thông tin nào bạn muốn cung cấp cho ứng dụng truy cập.Image
Sau khi bạn đã cấp quyền truy cập ứng dụng, nó đã hoàn tất. Dịch vụ lựa chọn của bạn cung cấp cho trang web hoặc ứng dụng mã thông báo truy cập duy nhất. Nó lưu trữ mã thông báo đó và sử dụng nó để truy cập vào các chi tiết này về tài khoản của bạn trong tương lai. Tùy thuộc vào ứng dụng, điều này có thể chỉ được sử dụng để xác thực bạn khi bạn đăng nhập hoặc để tự động truy cập tài khoản của bạn và thực hiện công việc trong nền. Ví dụ: ứng dụng của bên thứ ba quét tài khoản Gmail của bạn có thể thường xuyên truy cập vào email của bạn để nó có thể gửi cho bạn thông báo nếu nó tìm thấy điều gì đó.
Cách xem và thu hồi quyền truy cập từ ứng dụng của bên thứ ba
Bạn có thể xem và quản lý danh sách các trang web và ứng dụng của bên thứ ba có quyền truy cập vào tài khoản của bạn trên trang web của từng tài khoản. Bạn nên kiểm tra những điều này theo thời gian, vì bạn có thể đã từng cấp quyền truy cập vào thông tin cá nhân của mình cho một dịch vụ, ngừng sử dụng dịch vụ và quên dịch vụ đó vẫn có quyền truy cập. Hạn chế các dịch vụ có quyền truy cập vào tài khoản của bạn có thể giúp bảo mật dịch vụ và dữ liệu cá nhân của bạn.
Để biết thông tin kỹ thuật chi tiết hơn về triển khai OAuth, hãy truy cập trang web OAuth.
Các mẹo đăng nhập Gmail hữu ích về cách đăng ký hoặc đăng nhập vào Gmail, giải quyết sự cố và truy cập nhiều tài khoản Gmail. Làm theo các mẹo bảo mật này để bảo mật.
Tìm hiểu cách Đăng ký & Đăng nhập vào tài khoản PayPal của bạn một cách an toàn. Bài đăng bao gồm đăng nhập PayPal, khôi phục tài khoản, giải pháp cho các sự cố đăng nhập và các mẹo bảo mật.
Thông tin đăng nhập Google Plus, các mẹo đăng nhập, bạn có thể sử dụng để tăng cường bảo mật và quyền riêng tư. Tìm hiểu cách giữ an toàn và bảo mật trực tuyến trên tài khoản Google Plus của bạn.
