Cover Image for Met Facebook inloggen op een andere website

Met Facebook inloggen op een andere website

2018 October 217 min read
Diana Koenraadt
Diana Koenraadt

Hoe werkt dat nou eigenlijk? De techniek simpel uitgelegd

Je komt bij een website, website XYZ. Je wil XYZ uitproberen. De XYZ website meldt: "Je moet bij ons inloggen". En jij denkt: getsie, alweer een gebruikersnaam en wachtwoord wat ik moet gaan onthouden. Bah.

Maar wacht! Er staat een Facebook knop! Tof, dat scheelt gedoe ☺

Je klikt op de Facebook knop en wordt naar Facebook geleid. Je logt in bij Facebook. Facebook vraagt "mag XYZ jouw login gebruiken?". Je klikt op ja en voilà, ingelogd.

Maar waarom werkt het op deze manier? En waarom is dat veilig?

Voor jodiBooks ben ik de afgelopen week druk bezig geweest met de "inloggen met Facebook"-knop. Het leek me wel leuk om zo simpel mogelijk uit te leggen hoe dat werkt. Bij deze.


Zie het als twee balies

Je bent op de website van XYZ. Je klikt daar op de knop Inloggen met Facebook.

Je komt bij de XYZ balie aan en zegt: "Ik wil jullie dienst gebruiken"

De meneer achter de balie biedt je twee opties: je inschrijven bij XYZ, of je bestaande Facebook gegevens gebruiken.

Jij: "Doe maar Facebook."

XYZ balie meneer: "Okee, wat is je Facebook gebruikersnaam en wachtwoord?"

Ho wacht… je Facebook wachtwoord afgeven? Dat is niet de bedoeling natuurlijk!

Geef jij die meneer van XYZ toegang tot ál jouw Facebook gegevens? Lijkt me niet, dan kan hij alles doen wat hij wil!

Zo gaat het dan ook niet. Wat er wel gebeurt is het volgende.

Stap 1: je wordt van XYZ naar Facebook geleid

Je bent op de website van XYZ. Je klikt daar op de knop Inloggen met Facebook.

De XYZ balie meneer zegt "Inloggen met Facebook? Ja natuurlijk kan dat."

0 7ShBnkfiqIJo5t0X
"man holding stamp" door rawpixel op Unsplash

Hij pakt een formulier en schrijft op dat formulier: "Geachte Facebook, wij van balie XYZ willen graag bewijs dat jullie deze mevrouw kennen. Dan hoeft ze geen wachtwoord bij ons in te stellen."

  • Hij zet een stempel op het formulier om te bewijzen dat de aanvraag van XYZ komt.
  • Hij kruist op het formulier aan dat hij je naam wil weten.
  • Hij doet het formulier in een envelop en vraagt je om die bij de Facebook balie af te geven.
  • Ook vraagt hij je om het antwoord van Facebook in te leveren bij zijn collega Fred.

Dit is wat er zoal gebeurt als jouw browser naar Facebook wordt geleid.

Stap 2: Facebook's antwoord aan XYZ

Je browser komt op de Facebook website aan. Je krijgt een toestemmings-schermpje te zien.

Je komt bij de Facebook balie aan. Je geeft het formulier wat je van XYZ kreeg aan de mevrouw achter de balie.

Facebook balie mevrouw: "Ah, balie XYZ, dat stempel kennen we! Even checken.. Ja, balie XYZ is nog steeds toegestaan, deze mag ik in behandeling nemen. "

De dame controleert nog iets: "U moet straks terug naar Fred? Ja, die kennen we ook, dat is prima."

Ze kijkt je even heel serieus aan en vraagt: "Bent u ermee akkoord dat zij uw naam bij ons op mogen vragen?"

Dit is het moment waarop je bij Facebook op 'ok' klikt en toestemming geeft.

De Facebook balie dame lacht je toe en zegt: "Perfect! Dan stuur ik u terug naar Fred van balie XYZ. U krijgt een code van mij mee die u aan ze mag geven."

Dit is het moment waarop je browser wordt teruggestuurd naar website XYZ. Naar een speciale pagina ('Fred') waar ze je code in ontvangst nemen.

Stap 3: XYZ haalt je naam en foto op

Facebook stuurt je terug naar de website van XYZ. De website van XYZ is nog bezig met laden. Achter de schermen gebeurt er vanalles. Dit is wat er gebeurt.

Je komt bij Fred van XYZ. Hij ontvangt je code. Hij vraagt je een momentje te wachten en loopt naar een hokje waar hij even snel kan bellen met Facebook.

Fred van XYZ: "Dag Facebook? Ja, hallo, met Fred. Ik heb een code gekregen. Ik wil graag de naam van de betreffende persoon opvragen."

micah williams lmFJOx7hPc4 unsplash
Foto door Micah Williams op Unsplash

Aan de telefoon vraagt Facebook hem om de code in te toetsen. Hij schermt zijn telefoon af zodat niemand mee kan kijken en toetst de code in. Daarna vraagt Facebook: "Kun jij bewijzen dat je Fred van XYZ bent?"

"Ja, dat kan ik", zegt Fred. "Die stempel die wij van jullie hebben gekregen voor de formulieren, die zat in een doosje. Op dat doosje stond een nummer. Zal ik dat intypen?" en hij toetst het nummer van de stempel op zijn toestel in.

"Goed, zegt Facebook, jij bent 't. Dit is de naam van deze mevrouw."

Fred luistert aandachtig aan de lijn naar het antwoord. Daarna bedankt hij ze en hangt op.

Hij loopt nu terug naar jou. "Dag mevrouw A. Pietersen, welkom bij XYZ. Kan ik u rondleiden?"

De pagina is geladen. Je bent ingelogd bij XYZ.


Waarom zo omslachtig?

Kijk, al die capriolen met formulieren en stempels, is natuurlijk omdat er ook wat mis kan gaan.

Stempel

XYZ heeft een stempel van Facebook gekregen. Facebook neemt alleen formulieren in behandeling van stempels die ze hebben goedgekeurd. Als een stempel misbruikt is, en Facebook krijgt daar lucht van, dan komt dat stempel op de zwarte lijst. Dus, een website die de regels aan hun laars lapt, kan door Facebook geblokkeerd worden.

Formulier

Je móet worden doorverwezen naar facebook.com. Dat is dus om te voorkomen dat jij je wachtwoord direct aan balie XYZ geeft.

Toegang tot jouw gegevens

Wat nu als balie XYZ op het formulier ook aankruist dat ze je vriendenlijst willen zien? Daarom laat Facebook jou nog maar eens een keer zien wat XYZ had aangekruist op hun aanvraagformulier.

Je kunt zo beslissen of je door wilt gaan. Of je zegt tegen Facebook: "Ze mogen mijn naam weten, maar mijn vriendenlijst gaat ze niks aan."

Anti-onderschepping: Fred, de code van Facebook en het nummer van de stempel

Wat nu als jij (of nouja, jouw browser) onderschept wordt? Dat kan helaas gebeuren. Dan komt er een boef aan de balie bij Facebook, met jouw formulier.

Dat niet alleen, de boef kan erbij aangekruist hebben: "Geef mij toegang tot het emailadres, de vriendenlijst en privéberichten van deze persoon. Én ik wil op haar tijdlijn kunnen posten!" Nou, dat kan niet zomaar, want Facebook vraagt jou eerst of dat wel okee is ☺

Bovendien kan de boef zeggen: "En stuur het antwoord naar Erik!"

0 Qp6D mr E5IGB4RJ
Foto door rawpixel op Unsplash

Allereerst, Facebook checkt de lijst met mensen (websites) waar je naar terug mag worden gestuurd. Op die lijst staat wel Fred van website XYZ, maar geen Erik (de website van de boef). Ze geven dus geen code mee.

Stel dat de boef de plek van Fred heeft ingenomen? Facebook zegt dus "ga maar terug naar Fred", maar je browser is in de maling genomen en bezoekt de website van de boef. Daar is dat hele gedoetje voor waarbij Fred met Facebook belt: Hij moet bewijzen dat de code bij Fred is aangekomen en niet bij iemand anders. Dus alleen website XYZ mag de code ontvangen en inruilen voor jouw gegevens. Daar is het nummer van de stempel voor: Iemand die het juiste nummer niet kan intoetsen, kan de code nooit inruilen voor jouw gegevens. Zolang Fred dat doosje van de stempel dus veilig bewaart, weet je zeker dat jouw gegevens veilig zijn.