Wenn Sie jemals die Schaltfläche «Mit Facebook anmelden» verwendet oder einer Drittanbieter-App Zugriff auf Ihr Twitter-Konto gewährt haben, haben Sie OAuth verwendet. Es wird auch von Google, Microsoft und LinkedIn sowie vielen anderen Account-Anbietern verwendet. Im Wesentlichen können Sie mit OAuth einer Website Zugriff auf einige Informationen zu Ihrem Konto gewähren, ohne Ihr tatsächliches Kontokennwort anzugeben.
OAuth für die Anmeldung
OAuth hat derzeit zwei Hauptziele im Web. Oft wird es verwendet, um ein Konto zu erstellen und sich bequemer bei einem Onlinedienst anzumelden. Anstatt beispielsweise einen neuen Benutzernamen und ein neues Passwort für Spotify zu erstellen, können Sie auf «Mit Facebook anmelden» klicken oder darauf tippen. Der Dienst überprüft, wer Sie auf Facebook sind, und erstellt ein neues Konto für Sie. Wenn Sie sich in Zukunft bei diesem Dienst anmelden, werden Sie mit demselben Facebook-Konto angemeldet und erhalten Zugriff auf Ihr Konto. Sie müssen kein neues Konto einrichten oder so – Facebook authentifiziert Sie stattdessen.
Dies unterscheidet sich jedoch stark davon, dem Dienst einfach Ihr Facebook-Kontopasswort zu geben. Der Dienst erhält niemals Ihr Passwort für Ihr Facebook-Konto oder vollen Zugriff auf Ihr Konto. Es können nur einige wenige persönliche Daten wie Ihr Name und Ihre E-Mail-Adresse angezeigt werden. Es kann Ihre privaten Nachrichten nicht anzeigen oder auf Ihrer Timeline veröffentlichen.
Die Schaltflächen «Mit Twitter anmelden», «Mit Google anmelden», «Mit Microsoft anmelden», «Mit LinkedIn anmelden» und andere ähnliche Schaltflächen für andere Websites funktionieren auf die gleiche Weise
OAuth für Anwendungen von Drittanbietern
OAuth wird auch verwendet, wenn Apps von Drittanbietern Zugriff auf Konten wie Ihre Twitter-, Facebook-, Google- oder Microsoft-Konten erhalten. Diese Apps von Drittanbietern können auf Teile Ihres Kontos zugreifen. Sie erhalten jedoch nie Ihr Kontopasswort. Jede Anwendung erhält ein eindeutiges Zugriffstoken, das den Zugriff auf Ihr Konto einschränkt. Beispielsweise kann eine Drittanbieteranwendung für Twitter möglicherweise nur Ihre Tweets anzeigen, jedoch keine neuen Tweets veröffentlichen. Dieses eindeutige Zugriffstoken kann in Zukunft widerrufen werden, und nur diese bestimmte App verliert den Zugriff auf Ihr Konto.
Als weiteres Beispiel können Sie einer Drittanbieteranwendung nur Zugriff auf Ihre Google Mail-E-Mails gewähren, sie jedoch daran hindern, mit Ihrem Google-Konto etwas anderes zu tun.
Dies unterscheidet sich stark davon, einer Drittanbieteranwendung einfach Ihr Kontokennwort zu geben und sie sich anmelden zu lassen. Die Funktionen der Apps sind eingeschränkt. Durch dieses eindeutige Zugriffstoken kann der Kontozugriff jederzeit widerrufen werden, ohne dass Ihr Hauptzugriff geändert werden muss Passwort und ohne den Zugriff von anderen Apps zu widerrufen.
Wie OAuth funktioniert
Sie werden das Wort «OAuth» wahrscheinlich nicht sehen, wenn Sie es verwenden. Auf Websites und Apps werden Sie lediglich aufgefordert, sich mit Ihrem Facebook-, Twitter-, Google-, Microsoft-, LinkedIn- oder anderen Kontotyp anzumelden.
Wenn Sie ein Konto auswählen, werden Sie zur Website des Kontoproviders weitergeleitet, auf der Sie sich mit diesem Konto anmelden müssen, wenn Sie noch nicht angemeldet sind. Wenn Sie angemeldet sind – großartig! Sie müssen nicht einmal ein Passwort eingeben.
Stellen Sie sicher, dass Sie tatsächlich über eine sichere HTTPS-Verbindung auf die Website von Facebook, Twitter, Google, Microsoft, LinkedIn oder einem anderen Dienst geleitet werden, bevor Sie Ihr Kennwort eingeben! Dieser Teil des Prozesses scheint reif für Phishing zu sein, da böswillige Websites vorgeben könnten, die Website des eigentlichen Dienstes zu sein, um Ihr Passwort zu erfassen.
Abhängig von der Funktionsweise des Dienstes werden Sie möglicherweise automatisch mit einigen persönlichen Informationen angemeldet, oder es wird eine Aufforderung angezeigt, der Anwendung Zugriff auf einige Ihrer Konten zu gewähren. Möglicherweise können Sie sogar auswählen, auf welche Informationen Sie der Anwendung Zugriff gewähren möchten.
Sobald Sie der App Zugriff gewährt haben, ist dies erledigt. Ihr bevorzugter Dienst verleiht der Website oder Anwendung ein eindeutiges Zugriffstoken. Es speichert dieses Token und verwendet es, um in Zukunft Zugriff auf diese Details Ihres Kontos zu erhalten. Abhängig von der Anwendung kann dies nur verwendet werden, um Sie bei der Anmeldung zu authentifizieren oder um automatisch auf Ihr Konto zuzugreifen und Dinge im Hintergrund zu tun. Beispielsweise kann eine Drittanbieteranwendung, die Ihr Google Mail-Konto scannt, regelmäßig auf Ihre E-Mails zugreifen, um Ihnen eine Benachrichtigung zu senden, wenn sie etwas findet.
Anzeigen und Widerrufen des Zugriffs von Anwendungen von Drittanbietern
Sie können die Liste der Websites und Anwendungen von Drittanbietern, die Zugriff auf Ihr Konto haben, auf der Website jedes Kontos anzeigen und verwalten. Es ist eine gute Idee, diese von Zeit zu Zeit zu überprüfen, da Sie möglicherweise einmal einem Dienst Zugriff auf Ihre persönlichen Daten gewährt, diese nicht mehr verwendet und vergessen haben, dass der Dienst weiterhin Zugriff hat. Wenn Sie die Dienste einschränken, die Zugriff auf Ihr Konto haben, können Sie es und Ihre privaten Daten schützen.
Weitere technische Informationen zur Implementierung von OAuth finden Sie unter die OAuth-Website.