Was ist OAuth? Funktionsweise dieser Facebook-, Twitter- und Google-Anmeldeschaltflächen
Wenn Sie jemals eine Schaltfläche "Mit Facebook anmelden" verwendet haben oder einer App eines Drittanbieters Zugriff auf Ihr Twitter-Konto gewährt haben, haben Sie OAuth verwendet. Es wird auch von Google, Microsoft und LinkedIn sowie von vielen anderen Kontoanbietern verwendet. Im Wesentlichen können Sie mit OAuth einer Website Zugriff auf einige Informationen zu Ihrem Konto gewähren, ohne Ihr aktuelles Kennwort für Ihr Konto anzugeben.
OAuth für die Anmeldung
OAuth verfolgt im Moment zwei Hauptzwecke im Web. Häufig wird es zum Erstellen eines Kontos und zum bequemeren Anmelden bei einem Onlinedienst verwendet. Anstatt einen neuen Benutzernamen und ein neues Kennwort für Spotify zu erstellen, können Sie beispielsweise auf "Mit Facebook anmelden" klicken oder tippen. Der Dienst prüft, wer Sie bei Facebook sind, und erstellt ein neues Konto für Sie. Wenn Sie sich in Zukunft bei diesem Dienst anmelden, wird angezeigt, dass Sie sich mit demselben Facebook-Konto anmelden, und Sie haben Zugriff auf Ihr Konto. Sie müssen kein neues Konto einrichten oder irgendetwas - stattdessen authentifiziert Sie Facebook.
Dies unterscheidet sich jedoch erheblich davon, dem Dienst lediglich das Passwort Ihres Facebook-Kontos zu geben. Der Dienst erhält niemals Ihr Passwort für Ihr Facebook-Konto oder vollen Zugriff auf Ihr Konto. Es können nur einige eingeschränkte persönliche Daten wie Name und E-Mail-Adresse angezeigt werden. Ihre privaten Nachrichten können nicht angezeigt oder auf Ihrer Timeline veröffentlicht werden.
Die "Mit Twitter anmelden", "Mit Google anmelden", "Mit Microsoft anmelden", "Mit LinkedIn anmelden" und andere ähnliche Schaltflächen für andere Websites funktionieren auf die gleiche Weise
OAuth für Anwendungen von Drittanbietern
OAuth wird auch verwendet, wenn Apps von Drittanbietern Zugriff auf Konten wie Twitter, Facebook, Google oder Microsoft gewährt wird. Diese Apps von Drittanbietern haben Zugriff auf Teile Ihres Kontos. Sie erhalten jedoch niemals Ihr Kontopasswort. Jede Anwendung erhält ein eindeutiges Zugriffstoken, das den Zugriff auf Ihr Konto einschränkt. Beispielsweise kann eine Drittanbieteranwendung für Twitter nur die Tweets anzeigen, jedoch keine neuen Tweets veröffentlichen. Dieses eindeutige Zugriffstoken kann in der Zukunft gesperrt werden, und nur diese bestimmte App kann den Zugriff auf Ihr Konto verlieren.
In einem anderen Beispiel können Sie einer Anwendung eines Drittanbieters nur Zugriff auf Ihre Google Mail-E-Mails gewähren, es jedoch nicht zulassen, dass Sie mit Ihrem Google-Konto andere Aktionen ausführen.
Dies unterscheidet sich sehr davon, einer Drittanbieteranwendung einfach Ihr Kontopasswort zu geben und sich anmelden zu lassen. Die Apps sind in ihren Möglichkeiten eingeschränkt, und dieses einzigartige Zugriffstoken bedeutet, dass der Kontenzugriff jederzeit widerrufen werden kann, ohne dass Sie Ihre Hauptleitung ändern Passwort und ohne den Zugriff von anderen Apps zu widerrufen.
Wie funktioniert OAuth?
Sie werden wahrscheinlich nicht das Wort "OAuth" sehen, wenn Sie es verwenden. Auf Websites und Apps werden Sie lediglich aufgefordert, sich bei Facebook, Twitter, Google, Microsoft, LinkedIn oder einem anderen Konto anzumelden.
Wenn Sie ein Konto auswählen, werden Sie auf die Website des Kontoanbieters weitergeleitet, auf der Sie sich mit diesem Konto anmelden müssen, wenn Sie derzeit nicht angemeldet sind. Wenn Sie angemeldet sind - Großartig! Sie müssen nicht einmal ein Passwort eingeben.
Vergewissern Sie sich, dass Sie tatsächlich mit einer sicheren HTTPS-Verbindung zu echten Facebook-, Twitter-, Google-, Microsoft-, LinkedIn- oder anderen Websites von Diensten geleitet werden, bevor Sie Ihr Kennwort eingeben! Dieser Teil des Prozesses scheint reif für Phishing zu sein, da böswillige Websites so tun könnten, als seien sie die Website des echten Dienstes, um Ihr Passwort zu erfassen.
Abhängig von der Funktionsweise des Dienstes werden Sie möglicherweise automatisch mit ein paar persönlichen Informationen angemeldet oder Sie werden aufgefordert, der Anwendung Zugriff auf einige Konten zu gewähren. Sie können sogar auswählen, auf welche Informationen Sie der Anwendung Zugriff gewähren möchten.
Sobald Sie der App Zugriff gewährt haben, ist es fertig. Ihr Service Ihrer Wahl verleiht der Website oder Anwendung ein eindeutiges Zugriffstoken. Es speichert dieses Token und verwendet es, um in Zukunft auf diese Details zu Ihrem Konto zuzugreifen. Je nach Anwendung kann dies nur dazu verwendet werden, Sie bei der Anmeldung zu authentifizieren oder automatisch auf Ihr Konto zuzugreifen und Vorgänge im Hintergrund auszuführen. Beispielsweise kann eine Anwendung eines Drittanbieters, die Ihr Google Mail-Konto überprüft, regelmäßig auf Ihre E-Mails zugreifen, sodass Sie eine Benachrichtigung erhalten, wenn etwas gefunden wird.
Anzeigen und Widerrufen des Zugriffs von Drittanbieteranwendungen
Sie können die Liste der Websites und Anwendungen von Drittanbietern, die Zugriff auf Ihr Konto haben, auf der Website jedes Kontos anzeigen und verwalten. Es ist eine gute Idee, diese von Zeit zu Zeit zu überprüfen, da Sie einem Dienst möglicherweise einmal Zugriff auf Ihre persönlichen Informationen gegeben haben, diese nicht mehr verwenden und vergessen haben, dass der Dienst noch Zugriff hat. Durch die Einschränkung der Dienste, die Zugriff auf Ihr Konto haben, können Sie dieses und Ihre privaten Daten schützen.
Ausführliche technische Informationen zur Implementierung von OAuth finden Sie auf der OAuth-Website.