Qu'est-ce que OAuth? Comment fonctionnent ces boutons de connexion Facebook, Twitter et Google

Table des matières:

Qu'est-ce que OAuth? Comment fonctionnent ces boutons de connexion Facebook, Twitter et Google
Qu'est-ce que OAuth? Comment fonctionnent ces boutons de connexion Facebook, Twitter et Google

Vidéo: Qu'est-ce que OAuth? Comment fonctionnent ces boutons de connexion Facebook, Twitter et Google

Vidéo: Qu'est-ce que OAuth? Comment fonctionnent ces boutons de connexion Facebook, Twitter et Google
Vidéo: Photographier une éclipse - YouTube 2024, Mars
Anonim
Si vous avez déjà utilisé un bouton «Connexion avec Facebook» ou donné à une application tierce un accès à votre compte Twitter, vous avez utilisé OAuth. Il est également utilisé par Google, Microsoft et LinkedIn, ainsi que par de nombreux autres fournisseurs de comptes. Essentiellement, OAuth vous permet d'accorder à un site Web l'accès à certaines informations relatives à votre compte sans lui attribuer le mot de passe de votre compte.
Si vous avez déjà utilisé un bouton «Connexion avec Facebook» ou donné à une application tierce un accès à votre compte Twitter, vous avez utilisé OAuth. Il est également utilisé par Google, Microsoft et LinkedIn, ainsi que par de nombreux autres fournisseurs de comptes. Essentiellement, OAuth vous permet d'accorder à un site Web l'accès à certaines informations relatives à votre compte sans lui attribuer le mot de passe de votre compte.

OAuth pour la connexion

OAuth a actuellement deux objectifs principaux sur le Web. Il est souvent utilisé pour créer un compte et se connecter à un service en ligne plus facilement. Par exemple, plutôt que de créer un nouveau nom d'utilisateur et un nouveau mot de passe pour Spotify, vous pouvez cliquer ou toucher «Se connecter avec Facebook». Le service vérifie votre identité sur Facebook et crée un nouveau compte pour vous. Lorsque vous vous connectez à ce service à l'avenir, il voit que vous vous connectez avec le même compte Facebook et vous donne accès à votre compte. Vous n'avez pas besoin de créer un nouveau compte ou quoi que ce soit, Facebook vous authentifie à la place.
OAuth a actuellement deux objectifs principaux sur le Web. Il est souvent utilisé pour créer un compte et se connecter à un service en ligne plus facilement. Par exemple, plutôt que de créer un nouveau nom d'utilisateur et un nouveau mot de passe pour Spotify, vous pouvez cliquer ou toucher «Se connecter avec Facebook». Le service vérifie votre identité sur Facebook et crée un nouveau compte pour vous. Lorsque vous vous connectez à ce service à l'avenir, il voit que vous vous connectez avec le même compte Facebook et vous donne accès à votre compte. Vous n'avez pas besoin de créer un nouveau compte ou quoi que ce soit, Facebook vous authentifie à la place.

Cela est toutefois très différent de simplement donner au service le mot de passe de votre compte Facebook. Le service ne reçoit jamais le mot de passe de votre compte Facebook ni un accès complet à votre compte. Il ne peut afficher que quelques détails personnels limités, tels que votre nom et votre adresse électronique. Il ne peut pas afficher vos messages privés ni publier sur votre timeline.

Ceux "Connexion avec Twitter", "Connexion avec Google", "Connexion avec Microsoft", "Connexion avec LinkedIn" et d'autres boutons similaires pour d'autres sites Web fonctionnent de la même manière, pour

OAuth pour les applications tierces

OAuth est également utilisé pour donner aux applications tierces l'accès à des comptes tels que vos comptes Twitter, Facebook, Google ou Microsoft. Il permet à ces applications tierces d'accéder à certaines parties de votre compte. Cependant, ils ne reçoivent jamais le mot de passe de votre compte. Chaque application reçoit un jeton d'accès unique qui limite l'accès à votre compte. Par exemple, une application tierce pour Twitter peut uniquement afficher vos tweets, mais pas en publier de nouveaux. Ce jeton d'accès unique peut être révoqué à l'avenir, et seule cette application spécifique perdra l'accès à votre compte.
OAuth est également utilisé pour donner aux applications tierces l'accès à des comptes tels que vos comptes Twitter, Facebook, Google ou Microsoft. Il permet à ces applications tierces d'accéder à certaines parties de votre compte. Cependant, ils ne reçoivent jamais le mot de passe de votre compte. Chaque application reçoit un jeton d'accès unique qui limite l'accès à votre compte. Par exemple, une application tierce pour Twitter peut uniquement afficher vos tweets, mais pas en publier de nouveaux. Ce jeton d'accès unique peut être révoqué à l'avenir, et seule cette application spécifique perdra l'accès à votre compte.

Autre exemple, vous pouvez autoriser une application tierce à accéder uniquement à vos e-mails Gmail, mais l'empêcher de faire quoi que ce soit avec votre compte Google.

Cela est très différent de simplement donner le mot de passe de votre compte à une application tierce et le laisser se connecter. Les applications sont limitées dans leurs possibilités, et ce jeton d'accès unique signifie que l'accès au compte peut être révoqué à tout moment sans changer votre adresse principale. mot de passe et sans révoquer l'accès à partir d'autres applications.

Comment fonctionne OAuth

Vous ne verrez probablement pas le mot «OAuth» apparaître à chaque fois que vous l’utilisez. Les sites Web et les applications vous demanderont simplement de vous connecter avec votre compte Facebook, Twitter, Google, Microsoft, LinkedIn ou un autre type de compte.

Lorsque vous choisissez un compte, vous serez redirigé vers le site Web du fournisseur du compte, sur lequel vous devrez vous connecter avec ce compte si vous ne vous êtes pas connecté. Si vous êtes connecté, génial! Vous n'avez même pas besoin d'entrer un mot de passe.
Lorsque vous choisissez un compte, vous serez redirigé vers le site Web du fournisseur du compte, sur lequel vous devrez vous connecter avec ce compte si vous ne vous êtes pas connecté. Si vous êtes connecté, génial! Vous n'avez même pas besoin d'entrer un mot de passe.

Avant de saisir votre mot de passe, assurez-vous que vous êtes bien dirigé vers les vrais sites Facebook, Twitter, Google, Microsoft, LinkedIn ou tout autre site Web disposant d’un service HTTPS sécurisé. Cette partie du processus semble propice au phishing, car des sites Web malveillants pourraient prétendre être le véritable site Web du service afin de saisir votre mot de passe.

Selon le fonctionnement du service, vous pouvez simplement être automatiquement connecté avec des informations personnelles ou un message vous invitant à donner à l'application accès à certains de vos comptes. Vous pourrez peut-être même choisir les informations auxquelles vous souhaitez donner accès à l'application.
Selon le fonctionnement du service, vous pouvez simplement être automatiquement connecté avec des informations personnelles ou un message vous invitant à donner à l'application accès à certains de vos comptes. Vous pourrez peut-être même choisir les informations auxquelles vous souhaitez donner accès à l'application.
Une fois que vous avez donné l'accès à l'application, c'est fait. Votre service de choix donne au site Web ou à l'application un jeton d'accès unique. Il stocke ce jeton et l'utilise pour accéder ultérieurement aux informations relatives à votre compte. Selon l'application, cette option peut uniquement être utilisée pour vous authentifier lorsque vous vous connectez ou pour accéder automatiquement à votre compte et effectuer des opérations en arrière-plan. Par exemple, une application tierce qui analyse votre compte Gmail peut régulièrement accéder à vos e-mails afin de vous envoyer une notification si elle trouve quelque chose.
Une fois que vous avez donné l'accès à l'application, c'est fait. Votre service de choix donne au site Web ou à l'application un jeton d'accès unique. Il stocke ce jeton et l'utilise pour accéder ultérieurement aux informations relatives à votre compte. Selon l'application, cette option peut uniquement être utilisée pour vous authentifier lorsque vous vous connectez ou pour accéder automatiquement à votre compte et effectuer des opérations en arrière-plan. Par exemple, une application tierce qui analyse votre compte Gmail peut régulièrement accéder à vos e-mails afin de vous envoyer une notification si elle trouve quelque chose.

Comment afficher et révoquer l'accès à partir d'applications tierces

Vous pouvez afficher et gérer la liste des sites Web tiers et des applications ayant accès à votre compte sur le site Web de chaque compte. C’est une bonne idée de les vérifier de temps en temps, car vous avez peut-être déjà donné l’accès à vos informations personnelles à un service, cessé de les utiliser et oublié que le service a toujours accès. Limiter les services qui ont accès à votre compte peut aider à sécuriser celui-ci et vos données privées.
Vous pouvez afficher et gérer la liste des sites Web tiers et des applications ayant accès à votre compte sur le site Web de chaque compte. C’est une bonne idée de les vérifier de temps en temps, car vous avez peut-être déjà donné l’accès à vos informations personnelles à un service, cessé de les utiliser et oublié que le service a toujours accès. Limiter les services qui ont accès à votre compte peut aider à sécuriser celui-ci et vos données privées.

Pour plus d'informations techniques détaillées sur la mise en œuvre d'OAuth, visitez le site Web OAuth.

Conseillé: