Facebookでログイン」ボタンを使用したことがある、またはサードパーティのアプリケーションにTwitterアカウントへのアクセスを許可したことがある場合、OAuthを使用しています。これは、Google、Microsoft、LinkedIn、その他多くのアカウントプロバイダーでも使用されています。OAuthは、実際のパスワードを提供することなく、ウェブサイトがあなたのアカウントに関する特定の情報にアクセスすることを許可するものです。

ログインにoauthを使用

OAuthは現在、Web上で主に2つの用途があります。一般的には、アカウントを作成したり、オンラインサービスへのログインを容易にするために使用されます。例えば、Spotifyのユーザー名とパスワードを新たに作成する代わりに、「Facebookでサインイン」をクリックまたはタップすることで、Spotifyを利用することができます。このサービスでは、Facebook上でお客様の身元を確認し、新しいアカウントを作成します。今後、お客様がサービスにサインインする際、同じFacebookアカウントでサインインしていることがわかり、アカウントにアクセスできるようになります。Facebookがあなたを認証するために、新しいアカウントを作成したりする必要はありません。

ただし、これは単にFacebookアカウントのパスワードを提供するのとは大きく異なります。このサービスは、あなたのFacebookアカウントのパスワードや、アカウントへのフルアクセスを取得することはありません。閲覧できるのは、お客様のお名前やメールアドレスなど、限られた個人情報のみです。プライベートメッセージの閲覧やタイムラインへの投稿はできません。

これらの「Twitterでサインイン」、「Googleでサインイン」、「Microsoftでサインイン」、「".LinkedInでサインイン」および他のサイトの同様のボタンは、同じように機能する

サードパーティアプリケーションのためのoauth

OAuthは、Twitter、Facebook、Google、Microsoftなどのアカウントへのアクセスをサードパーティアプリケーションに提供するためにも使用されます。これにより、これらの第三者のアプリケーションは、お客様のアカウントの一部にアクセスできるようになります。しかし、彼らはあなたのアカウントのパスワードを取得することはありません。各アプリケーションには、お客様のアカウントへのアクセスを制限するための固有のアクセストークンが付与されます。例えば、Twitter用のサードパーティーアプリケーションは、お客様のツイートを閲覧することのみが可能で、新しいツイートを投稿することはできません。この固有のアクセストークンは、将来的に取り消すことができ、その特定のアプリケーションのみがお客様のアカウントへのアクセスを失います。

別の例として、サードパーティのアプリケーションにGmailメールへのアクセスのみを許可し、Googleアカウントでの他の操作を制限することができます。

これは、単にサードパーティのアプリケーションにアカウント・パスワードを提供してログインさせるのとは全く異なるものです。これらのアプリケーションでできることには限りがあり、ユニークなアクセストークンは、マスターパスワードを変更することなく、また他のアプリケーションへのアクセス権を失うことなく、いつでもアカウントアクセスを取り消すことができることを意味します。

oauthの仕組み

OAuthを使用する場合、「OAuth」という文字が表示されない場合があります。ウェブサイトやアプリケーションは、Facebook、Twitter、Google、Microsoft、LinkedIn、またはその他の種類のアカウントを使用してサインインするよう要求されるだけです。

アカウントを選択すると、アカウント提供者のウェブサイトが表示され、現在ログインしていない場合は、そのアカウントでログインする必要があります。すでにログインしている場合は、素晴らしいです。パスワードの入力も必要ありません。

関連：HTTPSとは何か、なぜ気にする必要があるのか？

パスワードを入力する前に、実際のFacebook、Twitter、Google、Microsoft、LinkedInなどのサービスサイトが安全なHTTPS接続で表示されることを確認してください。この部分は、悪意のあるサイトが実際のサービスサイトを装ってパスワードを聞き出そうとするフィッシングの対象になりやすいと思われます。

サービスの仕組みによっては、いくつかの個人情報で自動的にログインされるだけだったり、アプリがあなたのアカウントにアクセスできるようにするプロンプトが表示されたりすることがあります。アプリにアクセスさせる情報を選択することも可能です。

アプリケーションにアクセス権を与えたら、完了です。お客様が選択されたサービスは、ウェブサイトやアプリケーションに固有のアクセストークンを提供します。トークンは保存され、将来的にアカウントに関するこれらの詳細情報にアクセスするために使用されます。アプリケーションによっては、ログイン時の認証にのみ使用されたり、バックグラウンドで自動的にアカウントにアクセスし、アクションを実行するために使用されることがあります。例えば、お客様のGmailアカウントをスキャンするサードパーティアプリケーションは、定期的にお客様のメールにアクセスし、問題を発見した場合にお客様に通知を送信することがあります。

サードパーティアプリケーションからのアクセスの表示と取り消し方法

関連：サードパーティ製アプリケーションへのアクセスを排除して、オンラインアカウントを保護する

お客様は、お客様のアカウントにアクセスする第三者のウェブサイトおよびアプリケーションのリストを、各アカウントのウェブサイトで確認および管理することができます。あるサービスに個人情報へのアクセスを許可した後、そのサービスの使用を中止し、そのサービスがまだアクセスできることを忘れている可能性がありますので、この情報を頻繁に確認することをお勧めします。アカウントにアクセスできるサービスを制限することで、アカウントと個人情報を保護することができます。

OAuthの実装に関するより詳細な技術情報については、OAuthのウェブサイトをご覧ください。