• Beranda
  • Artikel
  • Web
  • Yang Perlu Anda Ketahui Tentang OAuth2 Dan Masuk Dengan Facebook

Yang Perlu Anda Ketahui Tentang OAuth2 Dan Masuk Dengan Facebook

Diterbitkan: 2022-03-10
Ringkasan cepat OAuth2 memudahkan pengguna untuk masuk ke aplikasi Anda, tidak perlu mengingat kata sandi untuk setiap situs web, dan untuk memercayai keamanan Anda. OAuth2 mendominasi industri karena tidak ada protokol keamanan lain yang mendekati adopsi OAuth2.

Jika Anda bertanya-tanya apa itu OAuth2, itu adalah protokol yang memungkinkan siapa saja untuk masuk dengan akun Facebook mereka. Ini memberdayakan tombol "Masuk dengan Facebook" di aplikasi dan di situs web di mana saja.

Artikel ini menunjukkan cara kerja "Masuk dengan Facebook" dan menjelaskan protokol di balik itu semua. Anda akan mempelajari mengapa Anda ingin masuk dengan Facebook, Google, Microsoft, atau salah satu dari banyak perusahaan lain yang mendukung OAuth2.

Artikel ini menunjukkan cara kerja "Masuk dengan Facebook" dan menjelaskan protokol di balik itu semua. Anda akan mempelajari mengapa Anda ingin masuk dengan Facebook, Google, Microsoft, atau salah satu dari banyak perusahaan lain yang mendukung OAuth2.

Kita akan melihat dua contoh: mengapa Spotify menggunakan Facebook untuk memungkinkan Anda masuk ke aplikasi seluler Spotify, dan mengapa Quora menggunakan Google dan Facebook untuk memungkinkan Anda masuk ke situs webnya.

Bacaan Lebih Lanjut tentang SmashingMag:

  • Empat Cara Membangun Aplikasi Seluler
  • Cara Membangun UI yang Jujur Dan Membantu Pengguna Membuat Keputusan yang Lebih Baik
  • Menjaga Aplikasi Android Anda Tetap Populer Setelah Diluncurkan
  • Daftar Putar Spotify Untuk Memicu Sesi Coding dan Desain Anda
Lebih banyak setelah melompat! Lanjutkan membaca di bawah ini

Sebelum OAuth2

OAuth2 memenangkan pertempuran standar beberapa tahun yang lalu. Ini satu-satunya protokol otentikasi yang didukung oleh vendor besar. Google merekomendasikan OAuth2 untuk semua API-nya, dan Graph API Facebook hanya mendukung OAuth2.

Cara terbaik untuk memahami OAuth2 adalah dengan melihat apa yang ada sebelumnya dan mengapa kami membutuhkan sesuatu yang berbeda. Semuanya dimulai dengan Basic Auth.

Otentikasi Dasar

Skema otentikasi fokus pada dua pertanyaan kunci: Siapa Anda? Dan bisakah Anda membuktikannya?

Cara paling umum untuk menanyakan dua pertanyaan ini adalah dengan nama pengguna dan kata sandi. Nama pengguna mengatakan siapa Anda, dan kata sandi membuktikannya.

Basic Auth adalah skema otentikasi web pertama. Kedengarannya lucu tetapi "Otentikasi dasar" adalah nama sebenarnya dalam spesifikasi yang pertama kali diterbitkan pada tahun 1999.

Auth Dasar memungkinkan server web untuk meminta kredensial ini dengan cara yang dipahami oleh browser. Server mengembalikan kode respons HTTP 401 (yang berarti otentikasi diperlukan) dan menambahkan header khusus ke respons, bernama WWW-Authenticate , dengan nilai khusus Basic .

Saat browser melihat kode respons ini dan header ini, ini menunjukkan dialog masuk popup:

Dialog masuk Auth Dasar
Dialog masuk Auth Dasar

Bagian terbaik tentang Basic Auth adalah kesederhanaannya. Anda tidak perlu menulis layar masuk. Browser menangani semua itu dan hanya mengirimkan nama pengguna dan kata sandi ke server. Ini juga memberi browser kesempatan untuk menangani kata sandi secara khusus, baik dengan mengingatnya untuk pengguna, mendapatkannya dari plugin pihak ketiga, atau mengambil kredensial pengguna dari sistem operasi mereka.

Kelemahannya adalah Anda tidak mendapatkan kontrol apa pun atas tampilan dan nuansa layar masuk. Itu berarti Anda tidak dapat menatanya atau menambahkan fungsionalitas baru, seperti “Lupa kata sandi?” tautan atau opsi untuk membuat akun baru. Jika Anda ingin lebih banyak penyesuaian, Anda harus menulis formulir masuk khusus.

Formulir Masuk Kustom

Formulir masuk khusus memberi Anda semua kontrol yang Anda inginkan. Anda menulis formulir HTML dan meminta kredensial. Anda kemudian mengirimkan formulir dan menangani login dengan cara apa pun yang Anda inginkan. Anda mendapatkan kontrol total: Anda dapat menatanya, meminta detail lebih lanjut, atau menambahkan lebih banyak tautan.

Beberapa situs web, seperti WordPress, menggunakan formulir sederhana untuk layar masuk:

Layar masuk WordPress
Layar masuk WordPress

LinkedIn memungkinkan pengguna masuk atau membuat akun di halaman yang sama, tanpa harus pergi ke bagian lain dari situs web:

Layar masuk LinkedIn
Layar masuk LinkedIn (Lihat versi besar)

Log-in berbasis formulir sangat populer, tetapi memiliki masalah mendasar utama: Pengguna harus memberi tahu situs web kata sandi mereka.

Menjaga Rahasia Rahasia

Di kalangan keamanan, kami menyebut kata sandi sebagai rahasia. Ini adalah sepotong informasi yang hanya Anda miliki dan membuktikan bahwa Anda adalah Anda. Rahasianya juga bisa lebih dari sekadar kata sandi; kita akan berbicara lebih banyak tentang itu nanti.

Sebuah situs web dapat mengambil semua langkah keamanan di dunia, tetapi jika pengguna membagikan kata sandi mereka, maka keamanan itu hilang. Peretas melanggar situs web Gawker pada tahun 2010, mengekspos banyak kata sandi pengguna. Meskipun ini adalah masalah bagi Gawker, masalahnya tidak berhenti di situ. Kebanyakan orang menggunakan kembali kata sandi, jadi peretas mengambil data yang bocor dari Gawker dan mencoba masuk ke situs web yang lebih penting, seperti Gmail, Facebook, dan eBay. Siapa pun yang menggunakan kata sandi Gawker untuk hal-hal yang lebih penting kehilangan lebih banyak daripada gosip terbaru tentang rekaman seks Hulk Hogan.

Memastikan pengguna Anda tidak menggunakan kembali kata sandi untuk banyak akun adalah bagian pertama dari masalah — dan itu tidak mungkin. Selama orang harus membuat akun yang berbeda di seluruh Internet, mereka akan menggunakan kembali kata sandi mereka.

Bagian kedua dari masalah adalah menyimpan kata sandi dengan aman.

Saat seseorang masuk ke aplikasi Anda, Anda perlu memverifikasi kata sandi mereka, dan itu berarti Anda memerlukan salinan untuk memverifikasinya. Anda dapat menyimpan semua nama pengguna dan kata sandi dalam database di suatu tempat, tetapi sekarang Anda berisiko kehilangan kata sandi itu atau diretas. Praktik terbaik adalah menggunakan fungsi hash, seperti salah satu fungsi SHA-2. Fungsi ini mengenkripsi data dengan cara yang tidak akan pernah Anda dapatkan kembali, tetapi Anda dapat mereplikasi enkripsi: "kata sandi saya" akan di-hash ke sesuatu seperti bb14292d91c6d0920a5536bb41f3a50f66351b7b9d94c804dfce8a96ca1051f2 setiap saat.

Dan sekarang kita berada di rerumputan yang tinggi: Saya memberi tahu Anda cara menerapkan protokol kriptografi. Selanjutnya, saya harus menjelaskan cara menambahkan garam ke data Anda dan buku teks mana yang harus dibaca tentang serangan man-in-the-middle. Yang ingin Anda lakukan hanyalah menulis aplikasi, dan sekarang Anda harus menjadi ahli keamanan. Kita perlu mundur.

OAuth2

Anda mungkin bukan ahli keamanan. Bahkan jika Anda, saya masih tidak akan mempercayai Anda dengan kata sandi saya. OAuth2 memberi Anda cara yang lebih baik.

Sebagai contoh, saya menggunakan Spotify di iPad saya. Saya membayar perusahaan $10 per bulan untuk mendengarkan musik. Spotify memberi saya akses hanya di tiga perangkat, jadi saya memerlukan kata sandi untuk memastikan tidak ada orang lain yang menggunakan akun saya. Akun Spotify saya bukan masalah keamanan yang besar. Diretas bukanlah akhir dunia, tetapi perusahaan memiliki kartu kredit saya, jadi saya ingin memastikan bahwa saya aman.

Saya hampir tidak pernah masuk ke Spotify, jadi saya tidak ingin membuat akun lain dan harus mengingat kata sandi lain. Spotify memberi saya opsi yang lebih baik:

Layar masuk Spotify dengan opsi _Masuk dengan Facebook_
Layar masuk Spotify dengan opsi "Masuk dengan Facebook" (Lihat versi besar)

Saya dapat menggunakan akun Facebook saya untuk masuk. Ketika saya mengetuk tombol itu, Spotify mengirim saya ke facebook.com, dan saya masuk di sana. Ini mungkin tampak seperti detail kecil, tetapi ini adalah langkah terpenting dari keseluruhan proses.

Layar masuk Facebook untuk Spotify
Layar masuk Facebook untuk Spotify (Lihat versi besar)

Pemrogram Spotify bisa saja menulis formulir masuk sendiri dan kemudian mengirim nama pengguna dan kata sandi saya ke Facebook dengan API back-end, tetapi ada dua alasan besar mengapa saya tidak ingin mereka melakukan itu:

  • Saya tidak mempercayai Spotify dengan kata sandi Facebook saya. Saya menggunakan Facebook untuk terhubung dengan teman dan saya tidak ingin diretas. Saya tidak percaya Spotify akan menangani kata sandi dengan benar. Saya juga tidak percaya bahwa itu akan menghindari godaan untuk melakukan sesuatu yang lucu dengannya. Mungkin akan mencoba menyimpannya agar bisa digunakan nanti. Mungkin ada bug yang menuliskannya ke file di suatu tempat sebelum mengirimnya ke Facebook, sehingga peretas bisa mengambilnya. Maaf, Spotify; Saya bukan tipe orang yang mudah percaya.
  • Saya tidak ingin membiarkan Spotify melakukan segalanya. Saya ingin Spotify memutar musik. Saya tidak ingin posting ke dinding teman saya ketika saya mendengarkan Spice Girls. Saya juga tidak ingin membiarkannya mengunduh daftar teman saya dan mengganggu mereka untuk bergabung dengan Spotify. Jika saya memberi Spotify kata sandi Facebook saya, maka Spotify bisa masuk sebagai saya di Facebook; itu bisa melakukan apa pun yang bisa saya lakukan.

Ada juga dua alasan besar mengapa Spotify tidak ingin melakukan itu:

  • Facebook memiliki beberapa opsi bagi saya untuk masuk. . Saya bisa masuk dengan nama pengguna dan kata sandi saya atau saya bisa masuk dengan aplikasi Facebook. Saya juga dapat mengambil kata sandi saya dari Facebook atau mendapatkan bantuan yang tidak dapat diberikan Spotify kepada saya. Jika saya hanya memberi Spotify kata sandi saya, saya tidak akan mendapatkan opsi itu.
  • Rahasia saya mungkin bukan kata sandi. . Kata sandi adalah keamanan yang cukup untuk akun Spotify $10 per bulan saya, tetapi mungkin tidak cukup untuk bank saya atau sesuatu yang lebih penting. Ada banyak rahasia lain yang bisa saya berikan: Saya mungkin memiliki kartu pintar, atau saya mungkin tinggal di film Mission Impossible dan menggunakan pemindai retina.

Saya tidak berada di film Mission Impossible, tetapi di dunia nyata, banyak perusahaan menggunakan otentikasi dua faktor, seperti kata sandi dan yang lainnya. Metode yang paling umum adalah menggunakan telepon Anda. Saat Anda ingin masuk, perusahaan mengirimi Anda teks dengan kode khusus yang berlangsung selama beberapa menit; Anda kemudian mengetikkan kode atau menggunakan aplikasi untuk memasukkannya.

Sekarang perusahaan yakin tidak ada yang bisa masuk ke akun Anda tanpa ponsel Anda. Jika seseorang mencuri kata sandi Anda, mereka tetap tidak dapat masuk. Selama Anda tidak kehilangan ponsel, semuanya aman.

Facebook bukan satu-satunya penyedia OAuth2. Saat saya masuk ke Quora dengan akun Google saya, Google memberi tahu saya apa yang ingin dilakukan Quora dan bertanya apakah boleh:

Dialog langkah-2 untuk proses OAuth2 Google Quora
Dialog langkah-2 untuk proses OAuth2 Google dan Quora

Saya mungkin baik-baik saja dengan mengizinkan Quora untuk melihat alamat email saya dan data profil dasar saya, tetapi saya tidak ingin itu mengelola kontak saya. OAuth2 menunjukkan kepada saya semua akses yang diinginkan Quora, memungkinkan saya untuk memilih apa yang saya berikan akses.

Nah itulah kelebihan OAuth2. Mari kita lihat cara kerjanya.

Cara Kerja OAuth2

Facebook, Google, dan sebagian besar penyedia OAuth2 lainnya memperlakukan klien asli secara berbeda dari klien web. Klien asli dianggap lebih aman, dan mereka mendapatkan token dan token penyegaran yang dapat bertahan selama berbulan-bulan. Klien web mendapatkan token yang jauh lebih pendek, yang biasanya habis saat pengguna menutup browser atau tidak mengklik situs web untuk sementara waktu.

Dalam kedua kasus, proses masuk adalah sama. Perbedaannya adalah seberapa sering pengguna harus melewatinya.

Proses masuk OAuth2 mengikuti langkah-langkah umum berikut:

  1. Pengguna mencoba melakukan sesuatu yang memerlukan otentikasi. Ini bisa sesederhana membuka aplikasi atau mengklik tombol "Masuk".
  2. Aplikasi atau situs web menentukan bahwa pengguna belum masuk dan memulai proses masuk. Ini dilakukan dengan membuka halaman web dan mengirimkannya ke URL khusus di Facebook, Google, atau situs web lain apa pun yang menyediakan OAuth2 Anda.

Membuka jendela browser baru untuk penyedia OAuth2 adalah langkah penting. Itulah yang memungkinkan penyedia untuk menunjukkan formulir masuk mereka sendiri dan meminta setiap pengguna untuk informasi masuk apa pun yang mereka butuhkan. Sebagian besar aplikasi melakukan ini dengan tampilan web tertanam.

Bersama dengan URL masuk penyedia, Anda perlu mengirim beberapa parameter URL yang memberi tahu penyedia siapa Anda dan apa yang ingin Anda lakukan:

  • client_id Ini memberi tahu penyedia OAuth2 apa aplikasi Anda. Anda harus mendaftarkan aplikasi Anda sebelumnya untuk mendapatkan ID klien.
  • redirect_uri Ini memberitahu penyedia ke mana Anda ingin pergi setelah Anda selesai. Untuk sebuah website, ini bisa kembali ke halaman utama; aplikasi asli dapat membuka halaman yang menutup tampilan web.
  • response_type Ini memberitahu penyedia apa yang Anda inginkan kembali. Biasanya, nilai ini berupa token , untuk menunjukkan bahwa Anda menginginkan token akses, atau code , untuk menunjukkan bahwa Anda menginginkan kode akses. Penyedia juga dapat memperluas nilai ini untuk menyediakan jenis data lainnya.
  • scope Ini memberi tahu penyedia apa yang ingin diakses aplikasi Anda. Beginilah cara Google mengetahui bahwa Quora meminta akses untuk mengelola kontak Anda. Setiap penyedia memiliki serangkaian cakupan yang berbeda.

Ada bidang tambahan yang dapat menambahkan lebih banyak keamanan atau bantuan dengan caching. Penyedia tertentu juga dapat menambahkan lebih banyak bidang, tetapi keempatnya adalah yang penting.

Setelah aplikasi Anda membuka tampilan web, penyedia mengambil alih. Mereka mungkin hanya meminta nama pengguna dan kata sandi yang sederhana, atau mereka mungkin menampilkan beberapa layar yang meminta apa pun mulai dari nama guru favorit Anda hingga nama gadis ibu Anda. Itu semua terserah mereka. Bagian yang penting adalah, ketika penyedia selesai, mereka akan mengarahkan kembali kepada Anda dan memberi Anda token.

Ini Semua Tentang Token

Ketika proses selesai, penyedia akan memberi Anda token dan jenis token. Ada dua jenis token: token akses dan token penyegaran. Jenis klien yang Anda miliki akan menentukan jenis token yang boleh Anda minta.

Ketika saya masuk ke aplikasi Spotify saya, saya dapat tetap masuk selama berbulan-bulan, karena asumsi ponsel saya hanya digunakan oleh saya. Facebook mempercayai aplikasi Spotify untuk mengelola token, dan saya percaya aplikasi Spotify tidak akan kehilangan token.

Saat token akses habis (biasanya, dalam satu hingga dua jam), Spotify dapat menggunakan token penyegaran untuk mendapatkan yang baru.

Token penyegaran berlangsung selama berbulan-bulan. Dengan begitu, saya hanya perlu masuk ke ponsel saya beberapa kali dalam setahun. Kelemahannya adalah jika saya kehilangan token penyegaran itu, orang lain dapat menggunakan akun saya selama berbulan-bulan. Token penyegaran sangat penting sehingga iOS menyediakan gantungan kunci untuk token, yang memastikan untuk mengenkripsi dan menyimpannya dengan aman.

Menggunakan OAuth2 dalam aplikasi web bekerja dengan cara yang sama. Alih-alih menggunakan tampilan web, Anda dapat membuka permintaan masuk OAuth2 dalam bingkai, iframe, atau jendela terpisah. Anda juga dapat membukanya di halaman saat ini, tetapi ini akan menyebabkan Anda kehilangan semua status aplikasi JavaScript setiap kali seseorang perlu masuk.

Ketika saya masuk ke Quora dengan browser web saya, saya tidak mendapatkan token penyegaran. Mereka ingin waktu token habis dan meminta saya untuk masuk lagi ketika saya keluar dari browser saya atau bahkan pergi untuk makan siang. Klien yang tidak tepercaya tidak dapat menyegarkan token karena mereka tidak dapat dipercaya untuk menyimpan token penyegaran yang penting. Ini lebih aman tetapi kurang nyaman, karena mereka akan meminta Anda untuk masuk lagi lebih sering.

Menggunakan OAuth2 Di Aplikasi Anda

Sekarang Anda tahu cara kerja OAuth2, tetapi Anda mungkin tidak ingin mengimplementasikan klien OAuth2 Anda sendiri. Anda dapat membaca seluruh spesifikasi OAuth 2.0 setebal 75 halaman jika Anda mengalami kesulitan tidur, tetapi Anda tidak perlu melakukannya. Beberapa perpustakaan hebat tersedia untuk Anda gunakan.

iOS memiliki dukungan bawaan untuk OAuth2. Corrina Krych memiliki tutorial yang sangat membantu tentang penggunaan OAuth 2.0 dengan Swift. Ini memandu Anda melalui cara mendapatkan token, cara mengintegrasikan tampilan di aplikasi Anda dan tempat menyimpan token Anda.

Android juga memiliki dukungan bawaan untuk OAuth2. Saya harus mengakui bahwa saya tidak begitu akrab dengannya karena saya fokus pada iOS, tetapi ada beberapa bagian bagus dalam dokumentasi untuk menunjukkan kepada Anda contoh dan beberapa perpustakaan sumber terbuka untuk membuatnya lebih mudah.

JavaScript tidak memiliki dukungan bawaan untuk OAuth2, tetapi ada klien untuk semua pustaka JavaScript utama. Bereaksi sepenuhnya mendukung OAuth2. AngularJS memiliki dukungan pihak ketiga untuk OAuth2.0 untuk banyak proyek. Saya bahkan menulis salah satunya.

Setelah Anda memiliki klien OAuth2, Anda harus memilih penyedia.

Siapa yang kamu percaya?

Asumsi besar di sini adalah saya lebih percaya Facebook daripada Spotify. Saya tidak punya alasan bagus untuk itu. Facebook tidak mempublikasikan keamanan internalnya, dan tidak ada cara yang baik bagi saya untuk mengauditnya. Spotify juga tidak. Tidak ada Laporan Konsumen untuk keamanan OAuth2. Saya pada dasarnya mempercayai Facebook karena lebih besar. Saya percaya Facebook karena orang lain percaya.

Saya juga semakin mempercayai Facebook setiap kali saya mengklik tombol "Masuk dengan Facebook". Jika Facebook kehilangan kata sandi saya, maka peretas akan mendapatkan akses tidak hanya ke akun Facebook saya, tetapi juga ke akun Spotify saya dan ke layanan lain yang saya masuki dengan akun Facebook saya. Keuntungannya adalah hanya ada satu tempat saya harus mengatur ulang kata sandi saya untuk memperbaiki masalah.

Saya tidak harus mempercayai Facebook, tetapi saya harus mempercayai seseorang. Seseorang harus mengautentikasi saya. Saya harus memilih penyedia yang saya percaya.

Memilih Penyedia OAuth2

Wikipedia mengelola daftar penyedia OAuth, tetapi Anda tidak akan peduli dengan sebagian besar dari mereka. Yang terbesar adalah Facebook dan Google. Anda mungkin juga ingin melihat Amazon atau Microsoft.

Keempatnya besar dan mudah diintegrasikan. Facebook memberikan instruksi untuk mendaftarkan aplikasi. Google memiliki langkah serupa. Ide dasarnya adalah Anda membuat akun pengembang dan kemudian membuat ID aplikasi. Penyedia kemudian memberi Anda ID klien yang dapat Anda gunakan untuk membuat permintaan.

Anda juga dapat memilih beberapa penyedia. Quora memungkinkan Anda untuk masuk dengan Facebook atau Google; karena keduanya menggunakan OAuth2, Anda dapat menggunakan kode yang sama untuk keduanya.

Apa yang Hilang Dari OAuth2

OAuth2 melakukan pekerjaan yang sangat baik untuk memecahkan masalah yang kompleks, tetapi ada beberapa hal yang hilang:

  • Standar tidak sepenuhnya standar. Saya tidak pernah bisa menulis satu klien OAuth2 yang dapat masuk ke Facebook dan Google tanpa beberapa pernyataan if . Masing-masing menafsirkan spesifikasi secara berbeda, dan ada sedikit perbedaan detail untuk masing-masing. Mereka juga selalu memiliki ide yang berbeda tentang cakupan apa yang harus disediakan. Menggunakan perpustakaan untuk berintegrasi dengan OAuth2 sangat membantu masalah ini, tetapi tidak akan pernah 100% transparan dalam kode aplikasi Anda.
  • Logout itu rumit. . Setiap aplikasi atau situs web yang menggunakan OAuth2 memiliki tombol keluar, tetapi sebagian besar hanya akan melupakan token tanpa membatalkannya. Aplikasi akan melupakan semua token Anda saat ini dan mengizinkan orang lain untuk masuk, tetapi token Anda masih valid. Jika seorang peretas mencuri token Anda, mereka masih dapat menggunakannya dan masuk sebagai Anda.

Ada spesifikasi terpisah untuk membuat token OAuth2 tidak valid, tetapi tidak diambil oleh banyak penyedia utama. OAuth2 tidak menyediakan cara untuk memulihkan jika peretas mendapatkan token penyegaran Anda; meskipun Anda dapat menghapus salinan token lokal Anda, peretas akan tetap memilikinya. Banyak penyedia memberi Anda cara untuk menangguhkan akun Anda, tetapi tidak ada cara standar untuk melakukannya.

Untuk mempertahankan OAuth2, ini adalah masalah yang sulit, karena banyak penyedia menggunakan kriptografi kunci publik untuk membuat token stateless. Ini berarti bahwa server tidak mengingat token yang telah dibuatnya, sehingga tidak dapat melupakannya nanti.

Masalah utama lainnya dengan OAuth2 adalah Anda bergantung pada penyedia Anda. Saat Facebook turun, begitu juga tombol "Masuk dengan Facebook" di aplikasi Anda. Jika Google memutuskan untuk mulai menagih Anda untuk mendukung OAuth2 atau meminta Anda berbagi keuntungan dengannya, tidak ada yang dapat Anda lakukan. Ini adalah pedang bermata dua untuk mempercayai penyedia: Mereka melakukan banyak hal untuk Anda, tetapi mereka memiliki kendali atas pengguna Anda.

OAuth2 Menjalankan Dunia

Bahkan dengan beberapa fitur yang hilang dan ketergantungan yang besar, OAuth2 masih merupakan pilihan yang sangat baik. Ini memudahkan pengguna untuk masuk ke aplikasi Anda, tidak perlu mengingat kata sandi untuk setiap situs web, dan untuk memercayai keamanan Anda. OAuth2 adalah pilihan yang sangat populer. Ini mendominasi industri. Tidak ada protokol keamanan lain yang mendekati adopsi OAuth2.

Sekarang Anda tahu dari mana OAuth2 berasal dan cara kerjanya. Buatlah pilihan cerdas tentang siapa yang harus dipercaya, berhenti membaca artikel tentang menyimpan kata sandi terenkripsi dengan aman, dan habiskan lebih banyak waktu Anda untuk menulis aplikasi luar biasa Anda.