OAuth
OAuth (Open Authorization) — это протокол авторизации, который позволяет приложению получить доступ к данным пользователя в другом сервисе без передачи пароля. Когда вы нажимаете «Войти через Google» — это OAuth.
Как это работает: вы хотите войти в приложение через Google-аккаунт. Приложение перенаправляет вас на страницу Google, где вы подтверждаете доступ. Google выдаёт приложению специальный токен. С этим токеном приложение может получить ваше имя и email — но не пароль. Токен ограничен по времени и правам доступа.
OAuth решает критичную проблему безопасности: пользователю не нужно доверять свой пароль от Google или VK стороннему приложению. Даже если приложение взломают — злоумышленник получит только токен с ограниченными правами, а не пароль от аккаунта.
Текущая версия — OAuth 2.0. Она используется повсеместно: социальные сети, банковские API, корпоративные системы. Для аутентификации (подтверждения личности) поверх OAuth существует надстройка OpenID Connect, которая стандартизирует получение информации о пользователе.
Ключевые преимущества
- Авторизация без передачи пароля стороннему приложению
- Токены с ограниченными правами и сроком действия
- «Войти через Google/VK/GitHub» — это OAuth
- Стандарт безопасности для API и интеграций
- OpenID Connect — надстройка для аутентификации
Примеры
Вход на сайт через Google, GitHub, VK, Apple — всё работает на OAuth 2.0. Банковские API (Open Banking) используют OAuth для доступа к счетам через финтех-приложения. Корпоративные системы: сотрудник входит через единый аккаунт компании (SSO) во все внутренние инструменты.
Когда это нужно
OAuth нужен, когда: вы добавляете социальную авторизацию в приложение, интегрируетесь с внешними API (Google, Яндекс, банки), строите экосистему сервисов с единым входом (SSO), разрабатываете публичное API для сторонних разработчиков.
Частые вопросы
OAuth и JWT — это одно и то же?
Нет. OAuth — это протокол авторизации (кто и к чему имеет доступ). JWT — формат токена (контейнер для данных). OAuth может использовать JWT как формат access-токена, но может и не использовать. JWT применяется и без OAuth — например, для сессий.
Безопасен ли вход через соцсети?
Да, OAuth 2.0 — проверенный стандарт. Вы не передаёте пароль стороннему приложению, а токен ограничен по правам. Но важно проверять, какие разрешения запрашивает приложение: если калькулятор просит доступ к вашим контактам — это подозрительно.
Читайте также
Интеграции
Объединяем ваши системы в единую экосистему: API-интеграции, IoT-платформы, ERP-связки. Данные текут между системами автоматически — без ручного труда и ошибок.
Веб-приложения
Создаём веб-приложения: SPA, PWA, порталы, личные кабинеты, SaaS-платформы. Next.js, React, TypeScript. От 200К, MVP за 4 недели.
REST API
REST API: что это, как работает, чем отличается от других API. Понятное объяснение для бизнеса.
JWT
JWT (JSON Web Token): что это, как работает, зачем нужен. Аутентификация в веб-приложениях без сессий на сервере.
API
API (программный интерфейс): что это, зачем нужен бизнесу, как работает. Примеры API в повседневной жизни.
Готовы начать проект?
Расскажите о задаче — мы предложим решение, сроки и стоимость. Первая консультация бесплатна.
30 минут · Бесплатно · Без обязательств