چگونه یک وب سایت‌ و یا اپلیکیشن‌ به اطلاعات حساب کاربری گوگل و یا فیس‌بوک شما دسترسی پیدا می‌کند؟

0
760
oauth-گوگل-فیس-بوک-لینکدین

OAuth. بله پاسخ OAuth است. سرویسی به ظاهر نا آشنا که بدون شناخت آن حتماً بارها مورد استفاده شما قرارگرفته است.

اگر تا به‌حال گزینه “ Sign In With Facebook ” یا “ Sign In With Google” توسط شما انتخاب‌شده، به این معنی است که از OAuth استفاده کرده اید. البته باید گفت مایکروسافت، لینکدین و بسیاری از ارائه‌دهندگان حساب‌های کاربری نیز از آن استفاده می‌کنند.

OAuth در واقع به شما اجازه می‌دهد تا به یک وب سایت مجوز دسترسی به بعضی از اطلاعات حساب کاربری خود را بدون داشتن رمز عبورتان اعطا کنید.

می‌توان گفت OAuth در حال حاضر دو هدف اصلی در وب دنبال می‌‌کند. هدف اول ایجاد یک حساب کاربری و ورود به یک سرویس آنلاین در کم‌ترین زمان و به راحتی است.

oauth-گوگل-فیس-بوک-لینکدین

برای مثال به‌جای ساختن یک نام کاربری و رمز عبور جدید برای ورود به Spotfy می‌توانید تنها با یک کلیک روی گزینه Sign in With Facebook به راحتی وارد شوید.

در واقع فیس بوک با اطلاعات حساب کاربری، هویت شما را در وب سایت جدید تصدیق می‌کند و همچنین این امکان را به شما می‌دهد تا دفعات بعدی شما با اطلاعات کاربری فیس بوک خود بدون هیچ مشکلی وارد سایت شوید. البته باید توجه داشت که هرگز این سرویس به رمز عبور فیس بوک شما دسترسی پیدا نمی‌کند و تنها اطلاعات محدودی از جمله نام و یا آدرس ایمیل شما را مشاهده می‌کند. حتی امکان مشاهده پیام‌های خصوصی و یا پست‌های شما برای این سرویس فراهم نیست.

گفتنی است اگر شما به جای فیس بوک هر حساب دیگری مانند گوگل، مایکروسافت و یا لینکدین را برای ورود به وب سایتی جدید انتخاب کنید همان دسترسی ذکرشده به این سرویس داده خواهد شد.

هدف دوم OAuth، به‌کارگیری این سرویس هنگام استفاده از اپلیکیشن‌های شخص ثالث است. در واقع این سرویس اجازه می‌دهد این‌گونه اپلیکیشن‌ها به اطلاعات بخشی از حساب کاربری شما در گوگل یا توییتر دسترسی پیدا کنند. به این صورت که هر اپلیکیشن یک توکن دسترسی منحصربه‌فرد دریافت و دسترسی به حساب شما  محدود می‌شود.

oauth-گوگل-فیس-بوک-لینکدین

برای مثال یک اپلیکیشن شخص ثالث می‌تواند تنها اجازه دسترسی و مشاهده توییت‌های شما را داشته و اجازه انتشار پست جدیدی را نداشته باشد، یا اپلیکیشن دیگری می‌تواند فقط مجوز مشاهده ایمیل‌های شما در حساب گوگل را دریافت کرده و نتواند تغییری در حساب شما به وجود آورد.

لازم به ذکر است در همه این موارد نیز OAuth رمز عبور شما را ندارد و هر زمان که دیگر تمایل به خدمات این سرویس نداشتید، توکن دسترسی، به شما اجازه لغو این نوع دسترسی را خواهد داد.

نحوه عملکرد OAuth و بررسی نکات امنیتی

به‌ احتمال زیاد شما هنگام استفاده از این سرویس کلمه OAuth را مشاهده نخواهید کرد. در واقع وب سایت‌ها و اپلیکیشن‌ها برای استفاده از این سرویس فقط از شما سوال می‌کنند. شما نیز با انتخاب حساب کاربری گوگل، فیس بوک، توییتر و غیره اجازه استفاده از این سرویس را صادر می‌کنید.

oauth-گوگل-فیس-بوک-لینکدین

در این مرحله با انتخاب یک حساب کاربری مانند فیس بوک، شما به وب سایت ارائه‌دهنده این حساب هدایت می‌شوید البته در صورتی که به‌تازگی وارد حساب خود نشده باشید که باید رمز عبور فیس بوک خود را وارد کنید. در غیر این صورت بدون نیاز به پسورد وارد می‌شوید.

در این قسمت نکته مهمی وجود دارد و آن نیز اطمینان از هدایت شما به سایت اصلی فیس بوک، گوگل و یا توییتر است. اگر از شما درخواست رمز عبور گوگل، فیس بوک و یا هر ارائه‌دهنده سرویس دیگری شد از برقراری ارتباط امن HTTPS اطمینان حاصل کرده و سپس رمز عبور خود را وارد کنید.

متأسفانه این یک روش جا افتاده برای حملات فیشینگ است، به نحوی که وب سایت‌های مخرب خود را به‌جای وب سایت‌های اصلی جا زده و رمز عبور شما را سرقت می‌کنند.

oauth-گوگل-فیس-بوک-لینکدین

نکته‌ای دیگر در این میان احتمال درخواست اطلاعات دیگری به‌جز اطلاعات پروفایلتان است که با توجه به نوع سرویس انتخابی شما متفاوت خواهد بود. در بیشتر این موارد این اجازه به شما داده خواهد شد که نوع اطلاعات خود را برای دسترسی اپلیکیشن به آن‌ها انتخاب کنید. پس حتما قبل از تأیید آن را مطالعه کنید.

برای نمونه در تصویر زیر در صورت تأیید شما اطلاعات پروفایل، لیست دوستان، آدرس ایمیل و تاریخ تولدتان در دسترس Spotfy قرار می‌گیرد.

oauth-گوگل-فیس-بوک-لینکدین

حال بعد از تأیید، سرویس انتخابی شما به وب سایت و یا اپلیکیشن شخص ثالث، یک توکن دسترسی منحصربه‌فرد اعطا می کند. این توکن ذخیره‌شده و برای استفاده از اطلاعات حساب کاربری شما در آینده مورد استفاده قرار می‌گیرد.

 می‌توان گفت استفاده از توکن بسته به اپلیکیشن دارد؛ یعنی اپلیکیشن می‌تواند تنها یک‌بار برای احراز هویت شما در هنگام ورود از آن استفاده کند و یا می‌تواند به طور خودکار و بدون اطلاع شما به حساب شما بارها دسترسی پیداکرده و در پشت‌کار اقدامات خود را انجام دهد. برای نمونه می‌توان به اپلیکیشن‌های اسکن حساب جیمیل اشاره کرد. این اپ ها مرتباً به ایمیل‌های شما دسترسی داشته و در صورت مشاهده موردی آن را به شما اطلاع خواهند داد.

چگونه دسترسی اپلیکیشن‌های شخص ثالث را به اطلاعات خود تشخیص داده و آن‌ها را حذف کنیم؟

برای این کار باید به لیست وب سایت‌ها و اپلیکیشن‌های شخص ثالث هر حساب کاربری خود مانند گوگل، فیس بوک و غیره مراجعه کنید. لیست این صفحات برای هر حساب کاربری در ادامه فهرست شده است.

oauth-گوگل-فیس-بوک-لینکدین

بعد از بررسی لیست، وب سایت و یا اپلیکیشنی را که تمایل به استفاده آن از اطلاعات حسابتان را ندارید، به راحتی حذف کنید.

  1. Google
  2. Facebook
  3. Dropbox
  4. LinkdIn
  5. Twitter
  6. Instagram

اکیداً توصیه می‌شود برای امنیت اطلاعاتتان حتماً در بازه‌های زمانی مشخص لیست حساب گوگل، فیس بوک و غیره را بررسی و اقدام به حذف دسترسی وب سایت و اپلیکیشن‌های مشکوک به اطلاعات شخصی خود کنید.