如果您曾经使用过“使用Facebook登录”按钮，或者允许第三方应用程序访问您的Twitter帐户，那么您已经使用了OAuth。谷歌、微软、LinkedIn以及其他许多帐户提供商也使用它。本质上，OAuth允许您授予网站访问有关您的帐户的某些信息的权限，而无需为其提供实际的帐户密码。

oauth用于登录

OAuth目前在web上有两个主要用途。通常，它用于创建帐户和更方便地登录在线服务。例如，您可以单击或轻触“使用Facebook登录”，而不是为Spotify创建新的用户名和密码。这项服务会检查你在Facebook上的身份，并为你创建一个新帐户。当你将来登录到该服务时，它会看到你使用相同的Facebook帐户登录，并允许你访问你的帐户。你不需要建立一个新的帐户或者任何Facebook认证你的东西。

然而，这与简单地给服务提供Facebook帐户密码是非常不同的。该服务从未获得你的Facebook帐户密码或完全访问你的帐户。它只能查看一些有限的个人信息，如您的姓名和电子邮件地址。它无法查看您的私人消息或在您的时间线上发布。

这些“使用Twitter登录”、“使用Google登录”、“使用Microsoft登录”、“使用LinkedIn登录”以及其他网站的类似按钮的工作方式与此相同

第三方应用程序的oauth

OAuth还用于向第三方应用程序提供对Twitter、Facebook、Google或Microsoft等帐户的访问权限。它允许这些第三方应用程序访问您的部分帐户。但是，他们永远不会得到你的帐户密码。每个应用程序都会获得一个唯一的访问令牌，限制它对您的帐户的访问。例如，Twitter的第三方应用程序可能只能查看您的tweet，但不能发布新tweet。这个唯一的访问令牌可以在将来被撤销，只有那个特定的应用程序将失去对你帐户的访问。

再举一个例子，你可以让第三方应用程序只访问你的Gmail邮件，但是限制它用你的Google帐户做任何其他事情。

这与简单地向第三方应用程序提供帐户密码并让其登录非常不同。这些应用程序所能做的是有限的，唯一的访问令牌意味着帐户访问可以在任何时候撤销，而无需更改您的主密码，也无需撤销其他应用程序的访问。

oauth的工作原理

在使用OAuth时，您可能不会看到“OAuth”这个词出现。网站和应用程序只会要求您使用Facebook、Twitter、Google、Microsoft、LinkedIn或其他类型的帐户登录。

当您选择一个帐户时，您将被定向到帐户提供商的网站，如果您当前尚未登录，则必须使用该帐户登录。如果你已经登录了，太棒了！你甚至不需要输入密码。

相关：什么是HTTPS，为什么我要关心？

在输入密码之前，确保你真的被引导到真正的Facebook、Twitter、Google、Microsoft、LinkedIn或任何其他具有安全HTTPS连接的服务网站！这个过程的这一部分对于网络钓鱼来说似乎已经成熟，因为恶意网站可以假装是真正的服务网站，试图获取你的密码。

根据服务的工作方式，您可能只是自动登录了一些个人信息，或者您可能会看到一个提示，让应用程序访问您的一些帐户。您甚至可以选择要让应用程序访问哪些信息。

一旦你给了应用程序访问权，它就完成了。您选择的服务为网站或应用程序提供了唯一的访问令牌。它存储该令牌，并使用它在将来访问有关帐户的这些详细信息。根据应用程序，这可能只用于在登录时对您进行身份验证，或自动访问帐户并在后台执行操作。例如，扫描Gmail帐户的第三方应用程序可能会定期访问您的电子邮件，以便在发现问题时向您发送通知。

如何查看和撤消来自第三方应用程序的访问

相关：通过删除第三方应用程序访问来保护您的在线帐户

您可以在每个帐户的网站上查看和管理访问您帐户的第三方网站和应用程序的列表。经常检查这些信息是一个好主意，因为您可能曾经向某个服务授予了访问您个人信息的权限，停止使用该服务，并且忘记了该服务仍然具有访问权限。限制可以访问您的帐户的服务可以帮助保护您的帐户和私人数据。

有关实现OAuth的更详细的技术信息，请访问OAuth网站。