OAuth: كيف يعمل التفويض الآمن دون مشاركة كلمة مرورك

لقد رأيتها عشرات المرات: "تسجيل الدخول بحساب Google"، أو "المتابعة عبر Facebook"، أو "تسجيل الدخول بحساب Apple". هذه النقرة السلسة على الزر هي OAuth في العمل. لكن ما الذي يحدث فعلياً خلف الكواليس — ولماذا يهمّ ذلك لخصوصيتك وأمانك؟

ما هو OAuth

OAuth اختصار لـ Open Authorization أي التفويض المفتوح. وهو بروتوكول معيار مفتوح — يعني أن أي جهة يمكنها تطبيقه — يتعامل مع التفويض (ما يُسمح لك بفعله) لا مع المصادقة (إثبات هويتك). الإصدار الحالي، OAuth 2.0، تستخدمه عملياً كل منصة رئيسية على الإنترنت.

بعبارات بسيطة، يتيح لك OAuth منح تطبيق ما صلاحية الوصول إلى بيانات أو ميزات محددة في تطبيق آخر — دون تسليم كلمة مرورك قط. تبقى أنت في السيطرة على ما يُشارَك، ولا يرى التطبيق الخارجي بيانات اعتمادك أبداً.

كيف يعمل OAuth

إليك شرحاً مبسطاً لما يحدث عندما تضغط على "تسجيل الدخول بحساب Google" في تطبيق خارجي:

  1. تطلب الوصول. تضغط على زر تسجيل الدخول، فيعيد التطبيق توجيهك إلى صفحة تسجيل دخول Google.
  2. تُصادَق مباشرةً. تُدخل بيانات اعتماد Google على خوادم Google نفسها — لا يرى التطبيق الخارجي شيئاً.
  3. تمنح الإذن. تسألك Google إن كنت تريد السماح للتطبيق بالوصول إلى بيانات محددة (كاسمك وبريدك الإلكتروني). توافق.
  4. يُصدَر رمز مميز. ترسل Google إلى التطبيق رمز وصول قصير الأجل — سلسلة من الأحرف تعمل كمفتاح مؤقت. يمتلك هذا الرمز نطاقاً محدداً (ما يمكنه الوصول إليه) ووقت انتهاء صلاحية.
  5. يستخدم التطبيق الرمز المميز. يقدّم التطبيق هذا الرمز عند الحاجة إلى جلب بياناتك. ولا يحتاج أبداً إلى كلمة مرورك الفعلية.

إن ألغيت الوصول لاحقاً، يصبح الرمز المميز غير صالح فوراً، ويفقد التطبيق الخارجي صلاحياته على الفور — دون الحاجة إلى تغيير كلمة المرور.

لماذا يهمّ OAuth لأمانك

الفائدة الأمنية الجوهرية لـ OAuth هي عزل بيانات الاعتماد. إذا تعرّض تطبيق خارجي لاختراق بيانات، فما يحصل عليه المهاجمون في أسوأ الأحوال هو رمز وصول منتهي الصلاحية — لا كلمة مرور Google أو Apple الفعلية. تظل حساباتك الرئيسية محمية.

يُقيّد OAuth أيضاً النطاق. قد يطلب التطبيق إذناً لقراءة عنوان بريدك الإلكتروني فحسب، لا لإرسال رسائل باسمك. هذا النموذج الدقيق للأذونات يمثّل طبقة حماية ذات مغزى مقارنةً بتسليم وصول كامل إلى الحساب.

OAuth ومستخدمو VPN

إذا كنت تستخدم VPN، يتقاطع OAuth مع خصوصيتك بعدة طرق مهمة.

مخاطر اعتراض الرمز المميز. على الشبكات غير الآمنة، قد يحاول المهاجمون شنّ هجمات الوسيط لاعتراض رموز OAuth خلال عملية إعادة التوجيه. يُشفّر VPN حركة مرورك، مما يقلّل هذا التعرض بشكل ملحوظ — لا سيما على شبكات Wi-Fi العامة في المطارات والفنادق والمقاهي.

OAuth عبر HTTPS. يتطلب OAuth 2.0 بروتوكول HTTPS ليعمل بأمان. يضيف VPN طبقة تشفير إضافية، لكنه ليس بديلاً عن HTTPS. كلاهما معاً يوفّران حماية أقوى.

خصوصية ربط الحسابات. عند استخدام "تسجيل الدخول بحساب Google" أو ما شابهه، تعلم Google بالخدمات التي تصل إليها ومتى. يُخفي VPN عنوان IP الخاص بك خلال هذه العملية، لكن مزوّد الهوية (Google أو Apple وغيرهما) لا يزال يسجّل حدث التفويض هذا. ينبغي للمستخدمين ذوي متطلبات الخصوصية الصارمة أن يوازنوا هذه المقايضة.

بيئات VPN المؤسسية. تجمع الشركات في كثير من الأحيان بين VPN وأنظمة تسجيل الدخول الأحادي المستندة إلى OAuth. يُصادَق الموظفون مرة واحدة عبر مزوّد الهوية — باستخدام OAuth أو بروتوكول OpenID Connect المرتبط به — ويحصلون على وصول إلى الموارد الداخلية المحمية بواسطة VPN.

حالات الاستخدام العملي

  • تكاملات التطبيقات: السماح لأداة إدارة المشاريع بنشر التحديثات في مساحة عمل Slack الخاصة بك.
  • تسجيل الدخول الاجتماعي: تسجيل الدخول إلى Spotify باستخدام حساب Facebook.
  • وصول API: منح تطبيق الميزانية وصولاً للقراءة فقط إلى معاملاتك المصرفية.
  • أدوات المطوّرين: تفويض خدمة نشر الأكواد بدفع التحديثات إلى مستودعات GitHub الخاصة بك.

OAuth مقابل كلمات المرور: الصورة الأكبر

لا يحلّ OAuth محل كلمات المرور — بل يقلّل من مدى حاجتك إلى استخدامها مع خدمات الطرف الثالث. بالاقتران مع كلمات مرور قوية، والمصادقة الثنائية، و VPN موثوق، يُعدّ OAuth قطعة واحدة من نهج أمان متعدد الطبقات يقلّص سطح هجومك على الإنترنت بشكل ملحوظ.