OAuth
OAuth (Open Authorization) — это протокол авторизации, который позволяет приложению получить доступ к данным пользователя в другом сервисе без передачи пароля. Когда вы нажимаете «Войти через Google» — это OAuth.
Как это работает: вы хотите войти в приложение через Google-аккаунт. Приложение перенаправляет вас на страницу Google, где вы подтверждаете доступ. Google выдаёт приложению специальный токен. С этим токеном приложение может получить ваше имя и email — но не пароль. Токен ограничен по времени и правам доступа.
OAuth решает критичную проблему безопасности: пользователю не нужно доверять свой пароль от Google или VK стороннему приложению. Даже если приложение взломают — злоумышленник получит только токен с ограниченными правами, а не пароль от аккаунта.
Текущая версия — OAuth 2.0. Она используется повсеместно: социальные сети, банковские API, корпоративные системы. Для аутентификации (подтверждения личности) поверх OAuth существует надстройка OpenID Connect, которая стандартизирует получение информации о пользователе.
Ключевые преимущества
- Авторизация без передачи пароля стороннему приложению
- Токены с ограниченными правами и сроком действия
- «Войти через Google/VK/GitHub» — это OAuth
- Стандарт безопасности для API и интеграций
- OpenID Connect — надстройка для аутентификации
Примеры
Вход на сайт через Google, GitHub, VK, Apple — всё работает на OAuth 2.0. Банковские API (Open Banking) используют OAuth для доступа к счетам через финтех-приложения. Корпоративные системы: сотрудник входит через единый аккаунт компании (SSO) во все внутренние инструменты.
Когда это нужно
OAuth нужен, когда: вы добавляете социальную авторизацию в приложение, интегрируетесь с внешними API (Google, Яндекс, банки), строите экосистему сервисов с единым входом (SSO), разрабатываете публичное API для сторонних разработчиков.
Частые вопросы
OAuth и JWT — это одно и то же?
Нет. OAuth — это протокол авторизации (кто и к чему имеет доступ). JWT — формат токена (контейнер для данных). OAuth может использовать JWT как формат access-токена, но может и не использовать. JWT применяется и без OAuth — например, для сессий.
Безопасен ли вход через соцсети?
Да, OAuth 2.0 — проверенный стандарт. Вы не передаёте пароль стороннему приложению, а токен ограничен по правам. Но важно проверять, какие разрешения запрашивает приложение: если калькулятор просит доступ к вашим контактам — это подозрительно.
Читайте также
Интеграции
Связываем 1С, SAP, CRM, маркетплейсы Ozon и Wildberries, IoT-устройства. От 390К. Первая интеграция за 2–4 недели, uptime 99,9%, ноль ручного переноса данных.
Веб-приложения
Создаём веб-приложения: SPA, PWA, порталы, личные кабинеты, SaaS-платформы. Next.js, React, TypeScript. От 200К, MVP за 4 недели.
API
API — программный интерфейс для обмена данными между системами. Как работает, типы (REST, GraphQL, SOAP), примеры интеграций: оплата, карты, CRM, мессенджеры.
JWT
JWT — JSON Web Token: подписанный токен для stateless-аутентификации. Структура (header.payload.signature), алгоритмы подписи, безопасное хранение и refresh.
REST API
REST API — архитектурный стиль обмена данными через HTTP: ресурсы, методы (GET, POST, PUT, DELETE), статусы, JSON. Отличие от SOAP и GraphQL, принципы дизайна.
Готовы начать проект?
Расскажите о задаче — мы предложим решение, сроки и стоимость. Первая консультация бесплатна.
30 минут · Бесплатно · Без обязательств