Apa itu OAuth? Cara Kerja Tombol-Tombol Masuk Facebook, Twitter, dan Google
Jika Anda pernah menggunakan tombol "Masuk Dengan Facebook", atau memberikan akses aplikasi pihak ketiga ke akun Twitter Anda, Anda telah menggunakan OAuth. Ini juga digunakan oleh Google, Microsoft, dan LinkedIn, serta banyak penyedia akun lainnya. Pada dasarnya, OAuth memungkinkan Anda memberikan situs web akses ke beberapa informasi tentang akun Anda tanpa memberikannya kata sandi akun Anda yang sebenarnya.
OAuth untuk Masuk
OAuth memiliki dua tujuan utama di web saat ini. Seringkali, ini digunakan untuk membuat akun dan masuk ke layanan online dengan lebih mudah. Misalnya, daripada membuat nama pengguna dan kata sandi baru untuk Spotify, Anda dapat mengklik atau mengetuk “Masuk Dengan Facebook”. Layanan ini memeriksa untuk melihat siapa Anda di Facebook dan membuat akun baru untuk Anda. Ketika Anda masuk ke layanan itu di masa depan, ia melihat bahwa Anda masuk dengan akun Facebook yang sama dan memberi Anda akses ke akun Anda. Anda tidak perlu mengatur akun baru atau apa pun - Facebook mengotentikasi Anda sebagai gantinya.
Ini sangat berbeda dari sekadar memberikan layanan kata sandi akun Facebook Anda. Layanan tidak pernah mendapatkan kata sandi akun Facebook Anda atau akses penuh ke akun Anda. Itu hanya dapat melihat beberapa detail pribadi yang terbatas, seperti nama dan alamat email Anda. Itu tidak dapat melihat pesan pribadi Anda atau memposting di Timeline Anda.
Mereka "Masuk Dengan Twitter", "Masuk Dengan Google", "Masuk Dengan Microsoft", "Masuk Dengan LinkedIn", dan tombol serupa lainnya untuk situs web lain bekerja dengan cara yang sama, untuk
OAuth untuk Aplikasi Pihak Ketiga
OAuth juga digunakan ketika memberi akses aplikasi pihak ketiga ke akun seperti akun Twitter, Facebook, Google, atau Microsoft Anda. Ini memungkinkan aplikasi pihak ketiga ini mengakses bagian akun Anda. Namun, mereka tidak pernah mendapatkan kata sandi akun Anda. Setiap aplikasi mendapat token akses unik yang membatasi akses yang dimilikinya untuk akun Anda. Misalnya, aplikasi pihak ketiga untuk Twitter mungkin hanya memiliki kemampuan untuk melihat tweet Anda, tetapi tidak memposting tweet baru. Token akses unik itu dapat dicabut di masa mendatang, dan hanya aplikasi tertentu yang akan kehilangan akses ke akun Anda.
Sebagai contoh lain, Anda mungkin memberi akses aplikasi pihak ketiga hanya ke email Gmail Anda, tetapi batasi untuk tidak melakukan hal lain dengan akun Google Anda.
Ini sangat berbeda dari hanya memberi aplikasi pihak ketiga kata sandi akun Anda dan membiarkannya masuk. Aplikasi terbatas dalam apa yang dapat mereka lakukan, dan bahwa token akses unik berarti akses akun dapat dicabut kapan saja tanpa mengubah utama Anda kata sandi dan tanpa mencabut akses dari aplikasi lain.
Cara Kerja OAuth
Anda mungkin tidak akan melihat kata "OAuth" muncul setiap kali Anda menggunakannya. Situs web dan aplikasi hanya akan meminta Anda untuk masuk dengan Facebook, Twitter, Google, Microsoft, LinkedIn, atau jenis akun lainnya.
Ketika Anda memilih akun, Anda akan diarahkan ke situs web penyedia akun, di mana Anda harus masuk dengan akun itu jika Anda saat ini tidak masuk. Jika Anda masuk-hebat! Anda bahkan tidak perlu memasukkan kata sandi.
Pastikan Anda benar-benar diarahkan ke Facebook, Twitter, Google, Microsoft, LinkedIn, atau situs web layanan lain apa pun lainnya dengan koneksi HTTPS yang aman sebelum mengetik kata sandi Anda! Bagian dari proses ini tampaknya sudah matang untuk phishing, karena situs web jahat dapat berpura-pura menjadi situs web layanan nyata dalam upaya untuk menangkap kata sandi Anda.
Bergantung pada bagaimana layanan ini bekerja, Anda mungkin secara otomatis masuk dengan sedikit informasi pribadi, atau Anda mungkin melihat permintaan untuk memberikan aplikasi akses ke beberapa akun Anda. Anda bahkan dapat memilih informasi mana yang Anda ingin akses aplikasi.
Setelah Anda memberikan akses aplikasi, selesai. Layanan pilihan Anda memberi situs web atau aplikasi token akses unik. Itu menyimpan token itu dan menggunakannya untuk mendapatkan akses ke detail ini tentang akun Anda di masa depan. Bergantung pada aplikasi, ini hanya dapat digunakan untuk mengotentikasi Anda ketika Anda masuk, atau untuk secara otomatis mengakses akun Anda dan melakukan hal-hal di latar belakang. Misalnya, aplikasi pihak ketiga yang memindai akun Gmail Anda dapat secara teratur mengakses email Anda sehingga dapat mengirimkan pemberitahuan kepada Anda jika menemukan sesuatu.
Cara Melihat dan Mencabut Akses Dari Aplikasi Pihak Ketiga
Anda dapat melihat dan mengelola daftar situs web dan aplikasi pihak ketiga yang memiliki akses ke akun Anda di setiap situs web akun. Sebaiknya periksa ini dari waktu ke waktu, karena Anda mungkin pernah memberikan akses ke informasi pribadi Anda ke suatu layanan, berhenti menggunakannya, dan lupa bahwa layanan masih memiliki akses. Membatasi layanan yang memiliki akses ke akun Anda dapat membantu mengamankannya dan data pribadi Anda.
Untuk informasi teknis lebih rinci tentang penerapan OAuth, kunjungi situs web OAuth.