Skip to content

AutentiseringLogg inn med Google

Profilbilde av Øystein Hagen Blixhavn

Forfatter

Øystein Hagen Blixhavn
5 minutter lesetid

Photo by freestocks on Unsplash

Flere og flere nettsider og applikasjoner gjør det nå mulig å logge inn med Google, Facebook eller andre systemer hvor de fleste av oss har en konto. En enkel og grei måte å logge inn på, men hva deler man egentlig når man gjør dette? Er det trygt, eller eksponerer man Google-kontoen sin til aktører man ikke stoler på?

OpenID Connect

Prosessen jeg skriver om benytter noe som heter OpenID Connect (også kalt OIDC). Dette er en påloggingsprosess som utnytter det at for eksempel Google allerede har en måte å verifisere hvem du er (typisk brukernavn og passord). Fordelen her er at du slipper å forholde deg til enda et sett med brukernavn og passord, og du slipper også å stole på at nettsiden lagrer denne informasjonen trygt. Er du i tillegg allerede logget inn på Google-kontoen din i en annen fane (for eksempel i Gmail), så vil du bli sluppet rett inn uten å logge på igjen.

Hva skjer egentlig?

La oss si at jeg skal logge inn på itverket.no, og velger "Logg inn med Google". Den første gangen jeg gjør dette må jeg godkjenne integrasjonen (mer om dette under), men la oss si at jeg allerede har gjort det. Da vil itverket.no spørre google: "er denne personen Øystein?". Siden jeg allerede har Gmail åpen kan Google umiddelbart svare "Ja", og jeg blir sluppet rett inn uten videre spørsmål. Om jeg ikke er logget inn hos Google blir jeg bedt om å gjøre dette før jeg får fortsette.

Jeg har tidligere kommet over en analogi som illustrerer dette godt: la oss si at du er på en festival. Ved festivalinngangen viser du billett og ID-kort, og får et armbånd med en spesiell farge dersom du er over 18 år. Du går så til en av de mange ølutsalgene og kjøper en øl, og i stedet for at bartenderen ber om å få se ID-kort, ber hun om å få se armbåndet. Når hun ser at dette har riktig farge, vet hun at du er over 18 år, og du får kjøpe ølen.

Bartenderen stoler på at billettskranken har gjort tilstrekkelig identifikasjon av deg, og trenger således ikke noe annet enn et bevis på at denne identifikasjonen er gjort. Dette får de i form av et armbånd som ikke kan flyttes fra person til person. En tilleggsfordel er at du slipper å ta frem ID-kort, som både er ekstraarbeid og gjør at du kan miste dette.

På samme måte stoler itverket.no på at Google gjør tilstrekkelig identifisering av meg, og fullfører innloggingen når de mottar bevis på denne identifikasjonen.

Opprette integrasjonen

Den første gangen du prøver å logge inn med Google på en nettside vil du få opp en ekstra forespørsel. Her etableres integrasjonen mellom nettsiden og Google, og her er det viktig å følge godt med. Da ber nemlig nettsiden om informasjon fra Google. For de fleste nettsider er det relativt uskyldig informasjon som epost, profilbilde og språkpreferanse. Men den kan også be om rettigheter til å lese eposten din, sende epost på vegne av deg, lese og endre kalenderen din, og mange andre svært inngripende rettigheter.

Her ønsker nettsiden full tilgang til Google Drive.

For noen nettsider og applikasjoner kan dette gi fullstendig mening. En kalenderapplikasjon du ønsker å integrere med Google trenger naturligvis full tilgang til Google-kalenderen din. Men dersom du ønsker å lese en nettavis eller blogg er slike tilganger unødvendige, og det er absolutt et rødt flagg.

Når bør man ikke bruke "Logg inn med.."?

Kort sagt, dersom man ikke ønsker å dele sin Google-epostadresse med nettsiden som spør. Enten fordi man overhodet ikke stoler på nettsiden (i så fall kan en "spam"-adressetjeneste som 33mail.com være et godt alternativ), eller fordi man vil legge på en pluss-adresse (f.eks. oystein+nettsidenavn@blixhavn.no) slik at man kan filtrere eposten enkelt.

For øvrig: dersom man får mulighet til å "Logge inn med Apple" vil Apple tilby å generere en ny epostadresse som videresender til kontoens hovedadresse. Dette vil da bli epostadressen som deles med nettsiden. Men også her må man passe på hvilken annen informasjon og hvilke andre rettigheter nettsiden eller applikasjonen ber om.

Trygt, men vær oppmerksom ved første registrering

Det er svært vanlig å være litt rask på labben når det gjelder uinteressante beskjeder og forespørsler. Hvem har vel ikke klikket rett på "Jeg er enig", eller "OK" på ting de ikke aner hva inneholder? Derfor er det viktig å vite hvilke situasjoner som krever litt mer oppmerksomhet. Å lese gjennom integrasjonsbetingelsene ved "Logg på med" er definitivt en av disse. Men brukt med litt bevissthet er denne funksjonen altså helt trygg og veldig nyttig.