Was ist OAuth? Wie diese Facebook-, Twitter- und Google-Anmeldeschaltflächen funktionieren



Wenn Sie jemals eine Schaltfläche zum Anmelden mit Facebook verwendet oder einer Drittanbieter-App Zugriff auf Ihr Twitter-Konto gewährt haben, haben Sie OAuth verwendet. Es wird auch von Google, Microsoft und LinkedIn sowie vielen anderen Kontoanbietern verwendet. Im Wesentlichen ermöglicht OAuth es Ihnen, einer Website Zugriff auf einige Informationen über Ihr Konto zu gewähren, ohne Ihr tatsächliches Kontopasswort anzugeben.

OAuth für die Anmeldung





OAuth hat derzeit zwei Hauptzwecke im Web. Oft wird es verwendet, um ein Konto zu erstellen und sich bequemer bei einem Online-Dienst anzumelden. Anstatt beispielsweise einen neuen Benutzernamen und ein neues Passwort für Spotify zu erstellen, können Sie auf Mit Facebook anmelden klicken oder tippen. Der Dienst überprüft, wer Sie auf Facebook sind und erstellt ein neues Konto für Sie. Wenn Sie sich in Zukunft bei diesem Dienst anmelden, erkennt dieser, dass Sie sich mit demselben Facebook-Konto anmelden, und gewährt Ihnen Zugriff auf Ihr Konto. Sie müssen kein neues Konto einrichten oder ähnliches – Facebook authentifiziert Sie stattdessen.

Dies unterscheidet sich jedoch stark davon, dem Dienst einfach Ihr Passwort für Ihr Facebook-Konto zu geben. Der Dienst erhält niemals Ihr Facebook-Kontopasswort oder vollen Zugriff auf Ihr Konto. Es kann nur wenige eingeschränkte persönliche Daten wie Ihren Namen und Ihre E-Mail-Adresse anzeigen. Es kann Ihre privaten Nachrichten nicht anzeigen oder auf Ihrer Timeline posten.



Diejenigen, die sich mit Twitter anmelden, mit Google anmelden, mit Microsoft anmelden, mit LinkedIn anmelden und andere ähnliche Schaltflächen für andere Websites funktionieren auf die gleiche Weise, um

OAuth für Drittanbieteranwendungen

OAuth wird auch verwendet, wenn Drittanbieter-Apps Zugriff auf Konten wie Ihre Twitter-, Facebook-, Google- oder Microsoft-Konten erhalten. Es ermöglicht diesen Drittanbieter-Apps den Zugriff auf Teile Ihres Kontos. Sie erhalten jedoch nie Ihr Kontopasswort. Jede Anwendung erhält ein eindeutiges Zugriffstoken, das den Zugriff auf Ihr Konto einschränkt. Beispielsweise kann eine Drittanbieteranwendung für Twitter möglicherweise nur Ihre Tweets anzeigen, jedoch keine neuen Tweets posten. Dieses eindeutige Zugriffstoken kann in Zukunft widerrufen werden, und nur diese bestimmte App verliert den Zugriff auf Ihr Konto.



Anzeige

Als weiteres Beispiel können Sie einer Drittanbieteranwendung nur Zugriff auf Ihre Gmail-E-Mails gewähren, sie jedoch auf andere Aktionen mit Ihrem Google-Konto beschränken.

Dies ist etwas ganz anderes, als einer Drittanbieteranwendung einfach Ihr Kontopasswort zu geben und sich anmelden zu lassen. Die Apps sind in ihren Möglichkeiten eingeschränkt und dieses einzigartige Zugriffstoken bedeutet, dass der Kontozugriff jederzeit widerrufen werden kann, ohne dass Sie Ihre Hauptfunktion ändern müssen Passwort und ohne den Zugriff von anderen Apps zu entziehen.

So funktioniert OAuth

Sie werden das Wort OAuth wahrscheinlich nicht sehen, wenn Sie es verwenden. Websites und Apps fordern Sie lediglich auf, sich mit Ihrem Facebook-, Twitter-, Google-, Microsoft-, LinkedIn- oder anderen Kontotyp anzumelden.

Wenn Sie ein Konto auswählen, werden Sie auf die Website des Kontoanbieters weitergeleitet, wo Sie sich mit diesem Konto anmelden müssen, wenn Sie derzeit nicht angemeldet sind. Wenn Sie angemeldet sind – großartig! Sie müssen nicht einmal ein Passwort eingeben.

VERBUNDEN: Was ist HTTPS und warum sollte ich mich darum kümmern?

Stellen Sie mit a . sicher, dass Sie tatsächlich auf die Website von Facebook, Twitter, Google, Microsoft, LinkedIn oder einem anderen Dienst weitergeleitet werden sichere HTTPS-Verbindung bevor Sie Ihr Passwort eingeben! Dieser Teil des Prozesses scheint reif für Phishing, da bösartige Websites so tun könnten, als wären sie die Website des echten Dienstes, um Ihr Passwort abzugreifen.

Anzeige

Abhängig von der Funktionsweise des Dienstes werden Sie möglicherweise nur automatisch mit einigen persönlichen Informationen angemeldet oder Sie werden aufgefordert, der Anwendung Zugriff auf einen Teil Ihres Kontos zu gewähren. Möglicherweise können Sie sogar auswählen, auf welche Informationen Sie der Anwendung Zugriff gewähren möchten.

Sobald Sie der App Zugriff gewährt haben, ist es fertig. Der Dienst Ihrer Wahl gibt der Website oder Anwendung ein eindeutiges Zugriffstoken. Es speichert dieses Token und verwendet es, um in Zukunft auf diese Details Ihres Kontos zuzugreifen. Je nach Anwendung kann dies nur verwendet werden, um Sie bei der Anmeldung zu authentifizieren oder automatisch auf Ihr Konto zuzugreifen und Dinge im Hintergrund zu erledigen. Beispielsweise kann eine Drittanbieteranwendung, die Ihr Gmail-Konto durchsucht, regelmäßig auf Ihre E-Mails zugreifen, um Ihnen eine Benachrichtigung zu senden, wenn sie etwas findet.

So zeigen Sie den Zugriff von Drittanbieteranwendungen an und entziehen ihn

VERBUNDEN: Sichern Sie Ihre Online-Konten, indem Sie den App-Zugriff von Drittanbietern entfernen

Sie können sehen und Verwalten Sie die Liste der Websites und Anwendungen von Drittanbietern, die Zugriff auf Ihr Konto haben auf der Website jedes Kontos. Es ist eine gute Idee, diese von Zeit zu Zeit zu überprüfen, da Sie möglicherweise einmal einem Dienst Zugriff auf Ihre persönlichen Daten gewährt, die Nutzung eingestellt und vergessen haben, dass der Dienst noch Zugriff hat. Die Einschränkung der Dienste, die Zugriff auf Ihr Konto haben, kann dazu beitragen, dieses und Ihre privaten Daten zu schützen.

Ausführlichere technische Informationen zur Implementierung von OAuth finden Sie unter die OAuth-Website .

WEITER LESEN Profilfoto von Chris Hoffman Chris Hoffmann
Chris Hoffman ist Chefredakteur von How-To Geek. Er schreibt über ein Jahrzehnt über Technologie und war zwei Jahre lang Kolumnist bei PCWorld. Chris hat für die New York Times geschrieben, wurde als Technologieexperte von Fernsehsendern wie Miamis NBC 6 interviewt und ließ sich von Nachrichtenagenturen wie der BBC über seine Arbeit berichten. Seit 2011 hat Chris über 2.000 Artikel geschrieben, die fast eine Milliarde Mal gelesen wurden – und das nur hier bei How-To Geek.
Vollständige Biografie lesen

Interessante Artikel