Si alguna vez usó un botón «Conectarse con Facebook» o le dio acceso a una aplicación de terceros a su cuenta de Twitter, ha usado OAuth. También lo utilizan Google, Microsoft y LinkedIn, así como muchos otros proveedores de cuentas. Básicamente, OAuth le permite otorgar acceso a un sitio web a cierta información sobre su cuenta sin darle la contraseña real de su cuenta.
OAuth para conexión
Actualmente, OAuth tiene dos propósitos principales en la web. A menudo se utiliza para crear una cuenta y conectarse más fácilmente a un servicio en línea. Por ejemplo, en lugar de crear un nuevo nombre de usuario y contraseña para Spotify, puede hacer clic o tocar «Conectar con Facebook». El servicio verifica quién eres en Facebook y crea una nueva cuenta para ti. Cuando inicies sesión en este servicio en el futuro, verá que inicias sesión con la misma cuenta de Facebook y te dará acceso a tu cuenta. No necesitas crear una nueva cuenta ni nada, Facebook te autentica.
Sin embargo, esto es bastante diferente a simplemente darle al servicio la contraseña de su cuenta de Facebook. El servicio nunca obtiene la contraseña de su cuenta de Facebook ni el acceso completo a su cuenta. Solo puede mostrar cierta información personal limitada, como su nombre y dirección de correo electrónico. No puede ver tus mensajes privados ni publicar en tu línea de tiempo.
Estos botones «Conectar con Twitter», «Conectar con Google», «Conectar con Microsoft», «Conectar con LinkedIn» y otros botones similares para otros sitios web funcionan de la misma manera, para
OAuth para aplicaciones de terceros
OAuth también se utiliza para permitir que aplicaciones de terceros accedan a cuentas como sus cuentas de Twitter, Facebook, Google o Microsoft. Permite que estas aplicaciones de terceros accedan a determinadas partes de su cuenta. Sin embargo, nunca obtienen la contraseña de su cuenta. Cada aplicación obtiene un token de acceso único que limita el acceso que tiene en su cuenta. Por ejemplo, es posible que una aplicación de Twitter de terceros solo tenga la capacidad de ver sus tweets, pero no de publicar nuevos tweets. Este token de acceso único se puede revocar en el futuro y solo esa aplicación específica perderá el acceso a su cuenta.
Otro ejemplo, puede permitir que una aplicación de terceros solo acceda a sus correos electrónicos de Gmail, pero evitar que haga cualquier otra cosa con su cuenta de Google.
Es muy diferente a simplemente darle a una aplicación de terceros la contraseña de su cuenta y permitirle que inicie sesión. Las aplicaciones están limitadas en lo que pueden hacer, y este token de acceso único significa que el acceso a la cuenta se puede revocar en cualquier momento sin cambiar su contraseña maestra y sin revocar el acceso de otras aplicaciones.
Cómo funciona OAuth
Probablemente no verá la palabra «OAuth» aparecer cada vez que la use. Los sitios web y las aplicaciones simplemente le pedirán que inicie sesión con su Facebook, Twitter, Google, Microsoft, LinkedIn o cualquier otro tipo de cuenta.
Cuando elija una cuenta, se lo dirigirá al sitio web del proveedor de la cuenta, donde deberá iniciar sesión con esa cuenta si no lo ha hecho actualmente. Si ha iniciado sesión, ¡genial! Ni siquiera tiene que ingresar una contraseña.
¡Asegúrese de estar dirigido al sitio web real Facebook, Twitter, Google, Microsoft, LinkedIn o cualquier otro servicio con una conexión HTTPS segura antes de ingresar su contraseña! Esta parte del proceso parece estar lista para el phishing, ya que los sitios web maliciosos podrían pretender ser el sitio web del servicio real en un intento de capturar su contraseña.
Dependiendo de cómo funcione el servicio, es posible que inicie sesión automáticamente con cierta información personal, o puede ver un mensaje para que la aplicación acceda a parte de su cuenta. Incluso puede elegir qué información desea dar acceso a la aplicación.
Una vez que haya dado acceso a la aplicación, estará listo. El servicio de su elección le da al sitio web o la aplicación un token de acceso único. Almacena este token y lo usa para acceder a estos detalles en su cuenta en el futuro. Dependiendo de la aplicación, esto se puede usar solo para autenticarlo cuando inicia sesión, o para acceder automáticamente a su cuenta y hacer cosas en segundo plano. Por ejemplo, una aplicación de terceros que escanea su cuenta de Gmail puede acceder regularmente a sus correos electrónicos para poder enviarle una notificación si encuentra algo.
Cómo ver y revocar el acceso desde aplicaciones de terceros
Puede ver y administrar la lista de sitios web y aplicaciones de terceros que tienen acceso a su cuenta en el sitio web de cada cuenta. Es una buena idea revisarlos de vez en cuando porque es posible que ya le haya dado acceso a un servicio a su información personal, haya dejado de usarla y haya olvidado que el servicio aún tiene acceso a ella. Limitar los servicios que tienen acceso a su cuenta puede ayudar a protegerla y proteger sus datos privados.
Para obtener información técnica más detallada sobre la implementación de OAuth, visite el sitio de OAuth.