什麼是oauth?facebook、twitter和google的登入按鈕是如何工作的
如果您曾經使用過“使用Facebook登入”按鈕,或者允許第三方應用程式訪問您的Twitter帳戶,那麼您已經使用了OAuth。谷歌、微軟、LinkedIn以及其他許多帳戶提供商也使用它。本質上,OAuth允許您授予網站訪問有關您的帳戶的某些資訊的許可權,而無需為其提供實際的帳戶密碼。
oauth用於登入
OAuth目前在web上有兩個主要用途。通常,它用於建立帳戶和更方便地登入線上服務。例如,您可以單擊或輕觸“使用Facebook登入”,而不是為Spotify建立新的使用者名稱和密碼。這項服務會檢查你在Facebook上的身份,併為你建立一個新帳戶。當你將來登入到該服務時,它會看到你使用相同的Facebook帳戶登入,並允許你訪問你的帳戶。你不需要建立一個新的帳戶或者任何Facebook認證你的東西。
然而,這與簡單地給服務提供Facebook帳戶密碼是非常不同的。該服務從未獲得你的Facebook帳戶密碼或完全訪問你的帳戶。它只能檢視一些有限的個人資訊,如您的姓名和電子郵件地址。它無法檢視您的私人訊息或在您的時間線上釋出。
這些“使用Twitter登入”、“使用Google登入”、“使用Microsoft登入”、“使用LinkedIn登入”以及其他網站的類似按鈕的工作方式與此相同
第三方應用程式的oauth
OAuth還用於向第三方應用程式提供對Twitter、Facebook、Google或Microsoft等帳戶的訪問許可權。它允許這些第三方應用程式訪問您的部分帳戶。但是,他們永遠不會得到你的帳戶密碼。每個應用程式都會獲得一個唯一的訪問令牌,限制它對您的帳戶的訪問。例如,Twitter的第三方應用程式可能只能檢視您的tweet,但不能釋出新tweet。這個唯一的訪問令牌可以在將來被撤銷,只有那個特定的應用程式將失去對你帳戶的訪問。
再舉一個例子,你可以讓第三方應用程式只訪問你的Gmail郵件,但是限制它用你的Google帳戶做任何其他事情。
這與簡單地向第三方應用程式提供帳戶密碼並讓其登入非常不同。這些應用程式所能做的是有限的,唯一的訪問令牌意味著帳戶訪問可以在任何時候撤銷,而無需更改您的主密碼,也無需撤銷其他應用程式的訪問。
oauth的工作原理
在使用OAuth時,您可能不會看到“OAuth”這個詞出現。網站和應用程式只會要求您使用Facebook、Twitter、Google、Microsoft、LinkedIn或其他型別的帳戶登入。
當您選擇一個帳戶時,您將被定向到帳戶提供商的網站,如果您當前尚未登入,則必須使用該帳戶登入。如果你已經登入了,太棒了!你甚至不需要輸入密碼。
相關:什麼是HTTPS,為什麼我要關心?
在輸入密碼之前,確保你真的被引導到真正的Facebook、Twitter、Google、Microsoft、LinkedIn或任何其他具有安全HTTPS連線的服務網站!這個過程的這一部分對於網路釣魚來說似乎已經成熟,因為惡意網站可以假裝是真正的服務網站,試圖獲取你的密碼。
根據服務的工作方式,您可能只是自動登入了一些個人資訊,或者您可能會看到一個提示,讓應用程式訪問您的一些帳戶。您甚至可以選擇要讓應用程式訪問哪些資訊。
一旦你給了應用程式訪問權,它就完成了。您選擇的服務為網站或應用程式提供了唯一的訪問令牌。它儲存該令牌,並使用它在將來訪問有關帳戶的這些詳細資訊。根據應用程式,這可能只用於在登入時對您進行身份驗證,或自動訪問帳戶並在後臺執行操作。例如,掃描Gmail帳戶的第三方應用程式可能會定期訪問您的電子郵件,以便在發現問題時向您傳送通知。
如何檢視和撤消來自第三方應用程式的訪問
相關:透過刪除第三方應用程式訪問來保護您的線上帳戶
您可以在每個帳戶的網站上檢視和管理訪問您帳戶的第三方網站和應用程式的列表。經常檢查這些資訊是一個好主意,因為您可能曾經向某個服務授予了訪問您個人資訊的許可權,停止使用該服務,並且忘記了該服務仍然具有訪問許可權。限制可以訪問您的帳戶的服務可以幫助保護您的帳戶和私人資料。
有關實現OAuth的更詳細的技術資訊,請訪問OAuth網站。
- 發表於 2021-04-07 10:11
- 閱讀 ( 51 )
- 分類:網際網路
你可能感興趣的文章
10安全檢查每個人都應該定期進行
... 在Facebook上,訪問您的設定頁面,然後單擊左側欄上的隱私。檢視此處的設定,以更改誰可以檢視您的帖子、誰可以與您聯絡,以及誰可以使用搜索查詢您。您還應該檢視時...
當谷歌阻止登入第三方應用時該怎麼辦
... 這就是為什麼當你嘗試用任何其他應用程式(例如**上的郵件應用程式或RSS閱讀器)登入到Google工具時,你會被阻止。 ...
你需要知道的關於谷歌檔案釣魚騙局的一切
... 不過,令人遺憾的是,我們不斷髮現,網際網路上沒有什麼是安全的。一個很好的例子:2017年春季的網路釣魚企圖欺騙谷歌文件並濫用谷歌OAuth系統。攻擊者是如何入侵谷歌賬戶的?什麼資料丟失了?你怎麼知道?讓我們看看...
如何阻止第三方應用程式訪問社交媒體上的私人資料
...要快速而簡單的修復,下面是如何撤銷對谷歌、Twitter、Facebook、Instagram和Pinterest中第三方應用程式的訪問權。 ...
如何用python讀寫google工作表
...有兩個主要的Python版本:2.7和3.x。我將使用2.7,但是使用什麼並不重要。如果您感興趣的話,pythonwiki會分解這些差異。您可能希望安裝虛擬環境。這超出了本文的討論範圍,但是是一個好的實踐。 ...
數百萬個應用程式如何容易受到一次安全駭客攻擊
...方應用程式或網站。一些最常見和最著名的例子是Google、Facebook和Twitter。 ...
使用社交登入?採取以下步驟保護您的帳戶
... facebook:什麼是互聯的? ...
什麼是amazon dash?以及你應該知道的6個最好的駭客
... 什麼是亞馬遜短跑按鈕(an amazon dash button)? ...
所有的社交網路都應該讓我們從演算法中奪回控制權
...的觀點,我完全同意。 While Instagram may not buck parent company Facebook’s love of algorithmic feeds, it should do exactly that (and Facebook should do it too!)—calm down the masses and give us a goddamn sparkle button. Stop trying to force side-scrolling feeds and other junk featur...
黑暗模式:當公司使用設計來操縱你
...你正在做的事情。公司指望這一點。 例如:早在4月份,Facebook就利用黑暗模式來破壞歐盟的隱私規則。看一看: 注意左邊的按鈕。關閉彈出視窗而不檢視您的設定的按鈕是藍色的,因此它很突出。用來檢查設定的按鈕是白色的...
