Saat kamu membuka sebuah aplikasi atau website, mungkin kamu sering melihat tombol “Login with Google”, “Login with Facebook”, atau “Sign in with Apple”.
Tombol-tombol ini tampak praktis—cukup satu klik, kamu bisa masuk ke berbagai layanan tanpa harus daftar ulang atau mengingat banyak password.
Tapi, pernahkah kamu bertanya:
Apakah login dengan akun Google itu aman? Kok bisa langsung masuk tanpa buat akun?
Jawabannya ada pada teknologi bernama OAuth. Ini adalah protokol yang bekerja di balik layar untuk memastikan bahwa kamu bisa login dengan aman dan cepat, tanpa harus memberikan password langsung ke aplikasi.
2. Apa Itu OAuth?
OAuth (baca: “O-auth”) adalah protokol otorisasi, artinya ia membantu aplikasi mendapatkan izin akses ke data kamu, tanpa harus tahu password kamu.
Bayangkan kamu ingin memberi izin ke aplikasi untuk membaca data dari akun Google-mu, misalnya nama dan email.
Dengan OAuth, aplikasi tidak akan pernah tahu password kamu. Sebaliknya, Google yang memberi izin (dengan token khusus) agar aplikasi bisa mengakses data itu—dengan batas tertentu.
⚠️ Penting: OAuth bukan sistem login, tapi sistem izin akses. Meskipun sering dipakai untuk login, fungsinya adalah memberikan akses terbatas, bukan memverifikasi identitas secara langsung.
3. Cara Kerja OAuth Secara Umum
Agar lebih mudah, mari bayangkan alurnya:
Kamu klik tombol “Login with Google” di sebuah aplikasi.
Aplikasi mengarahkanmu ke halaman login Google.
Kamu login (jika belum) dan memberi izin untuk berbagi data seperti nama & email.
Google memberikan token ke aplikasi.
Aplikasi memakai token itu untuk mengambil data dari Google.
Semua ini terjadi tanpa aplikasi tahu password Google-mu.
Dalam sistem ini ada beberapa pihak:
Kamu sebagai pengguna (Resource Owner)
Aplikasi yang ingin akses datamu (Client)
Google sebagai pemberi izin (Authorization Server)
Layanan Google sebagai penyedia data (Resource Server)
4. Jenis-Jenis Grant di OAuth 2.0
OAuth punya beberapa cara untuk memberikan akses, disebut grant types. Yang paling umum dan aman adalah:
Authorization Code Grant
Digunakan oleh aplikasi web. Aman karena token tidak muncul di browser.
Implicit Grant
Untuk aplikasi yang hanya berjalan di browser. Sekarang sudah jarang digunakan karena kurang aman.
Client Credentials
Digunakan antar server (tanpa keterlibatan pengguna).
Password Grant
Pengguna memberi username & password langsung. Tidak disarankan karena berisiko tinggi.
Saat ini, praktik terbaik adalah menggunakan Authorization Code + PKCE, terutama untuk aplikasi mobile dan modern.
5. Mengapa OAuth Aman?
OAuth memberikan token sementara sebagai pengganti password. Token ini:
Hanya berlaku untuk aplikasi tertentu.
Bisa dibatasi (misalnya: hanya boleh baca email, tidak boleh kirim).
Bisa diatur agar kadaluarsa setelah beberapa waktu.
Bisa dicabut kapan saja oleh pengguna.
Karena password tidak pernah dibagikan, risiko seperti pencurian data atau penyalahgunaan jadi lebih kecil.
Tentunya, ini hanya aman jika dijalankan di atas HTTPS dan dengan pengaturan yang benar.
6. Contoh Nyata Penggunaan
Contoh paling mudah:
Kamu klik “Login with Google” saat daftar di Zoom.
Zoom tidak tahu password Google kamu.
Tapi kamu beri izin agar Zoom bisa tahu namamu dan alamat emailmu dari Google.
Sama halnya dengan Trello, Slack, GitHub, dan banyak aplikasi lain.
Semua ini dimungkinkan oleh OAuth.
7. Kapan dan Mengapa Menggunakan OAuth?
Jika kamu membangun aplikasi dan:
Tidak ingin membuat sistem login sendiri,
Ingin mengurangi resiko pencurian data pengguna,
Ingin memberikan akses sebagian data (bukan semua),
…maka OAuth adalah pilihan yang tepat.
OAuth juga menjadi dasar untuk sistem lain seperti OpenID Connect dan sering dipakai di perusahaan besar yang ingin menghubungkan banyak layanan dengan aman.
8. Kesimpulan
OAuth mungkin bekerja di balik layar, tapi perannya sangat penting.
Setiap kali kamu klik tombol “Login with Google”, kamu sedang memakai teknologi canggih yang menjaga keamanan data kamu.
Dengan OAuth:
Kamu tidak perlu berbagi password ke banyak tempat.
Aplikasi hanya bisa mengakses data yang kamu izinkan.
Keamanan tetap terjaga, dan pengalaman login jadi jauh lebih nyaman.
Jadi, jangan ragu saat melihat tombol “Login with Google” — karena di balik itu, ada OAuth yang menjaga kamu.
Seorang Akademisi, Peneliti dan Praktisi TI, mengajar di beberapa perguruan tinggi, Authorized Training Center dan Lembaga Pengembangan SDM TI. Aktif berbagi di komunitas melalui event webinar & sharing session. aktifitas sehari-hari di isi dengan mengajar, menulis di blog, jurnal, media massa, buku dan juga membuat video tutorial. bidang ilmu yang didalami adalah cybersecurity, system administrator, programming, networking, linux, cloud computing, blockchain, data science, artificial intelligence. visit me at sulkiflysaid.com
