O OAuth é seguro?

Sim, o protocolo OAuth é projetado para ser um método seguro para a autorização de terceiros.

Em primeiro lugar, o OAuth permite que websites de terceiros acessem sua conta sem você ter de dar-lhes a sua senha. Os aplicativos são capazes de acessar a sua conta, se e somente se você autorizar a fazê-lo. Se você revogar esse direito, em seguida, o aplicativo será imediatamente incapaz de tomar ações em seu nome.

Em segundo lugar, cada website de terceiros que você autoriza pode apenas fazer ações específicas, autorizadas por você. Isso significa que, por exemplo, se você é da administração e autoriza um aplicativo que solicita apenas “Direitos básicos”, se o mesmo tentar apagar uma página (que requer direitos administrativos), a wiki rejeitará a solicitação. Anteriormente, se um aplicativo tivesse a sua senha, você estaria dependente das garantias do autor do aplicativo que ele não usaria seus direitos avançados.

Como isso me afeta agora?

Os aplicativos não podem tomar qualquer ação em seu nome sem autorização, por isso até você decidir que quer usar um aplicativo que usa o OAuth, isso não tem efeito sobre você.

Como faço para conectar um aplicativo à minha conta?

Se um aplicativo deseja usar o OAuth para tomar ações em seu nome, você terá de autorizá-lo para tal. Os aplicativos não podem tomar qualquer ação em seu nome sem autorização.

Quando uma aplicação pede para que você a autorize, será apresentada uma caixa de diálogo que dirá quais são os direitos que a aplicação pediu (ver imagem à direita). Se Cancelar for clicado, o processo de autorização é negado. Se Permitir for clicado, o aplicativo terá autorização para realizar as ações listadas no diálogo. A autorização permanecerá vigente até que você a revogue.

A lista de aplicativos atualmente aprovados está disponível em Special:OAuthListConsumers.

Como posso ver quais os aplicativos estão conectados à minha conta?

A página Special:OAuthManageMyGrants (que também está acessível a partir do botão Gerenciar aplicativos conectados da aba Dados pessoais em suas preferências) lista todos os aplicativos que você autorizou a acessarem sua conta. A partir dessa página, é possível também ajustar e revogar direitos concedidos.

Como faço para remover a capacidade de um aplicativo de acessar minha conta?

Acesse Special:OAuthManageMyGrants, encontre o aplicativo que você deseja remover o acesso, e clique em revogar acesso. Então, na página que abrir, clique no botão Desautorizar.

Uma vez que um aplicativo é desautorizado, ele não será mais capaz de acessar sua conta ou tomar qualquer ação em seu nome. Você terá que passar pelo processo de autorização desse aplicativo novamente para que ele acesse sua conta.

A interface de gerenciamento é global — ela mostrará os mesmos aplicativos, não importa em qual wiki da Wikimedia você esteja.

Como faço para mudar as ações que um aplicativo pode ter com a minha conta?

Acesse Special:OAuthManageMyGrants, encontre o aplicativo cujas permissões você deseja modificar, e clique em gerenciar acesso. A partir daí, é possível revogar individualmente cada permissão, excluindo os Direitos básicos, que são os direitos mínimos exigidos por todos os aplicativos conectados para funcionarem.

Posso ver um exemplo de como o OAuth funciona?

Brad Jorsch montou um exemplo de como o OAuth funciona chamado “OAuth Hello World!”. Para testá-lo, acesse https://oauth-hello-world.toolforge.org/.

Como posso usar o OAuth em meu próprio aplicativo?

Veja OAuth/For Developers .