OAuth

OAuth (Open Authorization) è un protocollo standard aperto che consente alle applicazioni di terze parti di accedere ai dati di un utente su un altro servizio senza richiedere che l'utente consegni la propria password. Invece di condividere le credenziali direttamente, l'utente si autentica con il servizio originale (come Google o Stripe) e concede all'applicazione richiedente un token di accesso limitato. Quel token specifica esattamente cosa può fare l'applicazione — leggere un foglio di calcolo specifico, scrivere in una cartella particolare, elaborare pagamenti — e l'utente può revocarlo in qualsiasi momento. OAuth 2.0 è la versione attuale utilizzata praticamente da tutti i principali servizi web, ed è alla base dei flussi "Accedi con Google" e "Collega il tuo account" che sono ormai standard sul web.

Senza OAuth, collegare due servizi richiederebbe la condivisione delle credenziali di accesso con l'applicazione di terze parti — un serio rischio di sicurezza che darebbe a quell'applicazione accesso completo e illimitato al vostro account. OAuth risolve questo problema creando un modello di delega controllata. L'applicazione di terze parti riceve solo i permessi specifici di cui ha bisogno, per il tempo in cui lo consentite. Se l'applicazione viene compromessa, gli aggressori ottengono un token limitato invece della vostra password. Per gli editori digitali che si affidano a molteplici strumenti — piattaforme di analisi, servizi di [email marketing](/glossary/email-marketing), processori di pagamento, integrazioni con fogli di calcolo — OAuth è il meccanismo che rende queste connessioni sicure e gestibili senza creare una rete di password condivise.

FlipLink utilizza l'autorizzazione basata su OAuth quando si connette a servizi di terze parti tramite la funzionalità [automazione e integrazioni](/features/automation-and-integrations). Quando configurate l'[integrazione con Google Sheets](/integrations/google-sheets), ad esempio, venite reindirizzati alla schermata di consenso di Google dove autorizzate FlipLink a scrivere i dati dei lead in un foglio di calcolo specifico. FlipLink riceve un token di accesso con ambito limitato — può scrivere su quel foglio ma non può leggere la vostra email, accedere ai file di Drive o eseguire qualsiasi azione al di fuori del permesso concesso. L'[integrazione con Stripe](/integrations/stripe) funziona in modo simile: autorizzate FlipLink a elaborare pagamenti per vostro conto tramite il flusso OAuth di Stripe, e FlipLink non memorizza né vede mai la vostra password Stripe. Tutti i token sono archiviati in modo sicuro e possono essere revocati sia dalla dashboard di FlipLink che dalle impostazioni del servizio di terze parti.

OAuth 2.0 definisce diversi tipi di concessione, ciascuno adatto a uno scenario di integrazione diverso: - **Authorization Code Grant**: Il flusso più comune per le applicazioni server-side. L'utente viene reindirizzato al server di autorizzazione (es. Google), concede il permesso e riceve un codice di autorizzazione che l'applicazione scambia con un token di accesso. Questo è il flusso utilizzato da FlipLink per le integrazioni con Google Sheets e Stripe. - **Client Credentials Grant**: Utilizzato per la comunicazione server-to-server dove non è necessaria l'interazione dell'utente. L'applicazione si autentica direttamente con le proprie credenziali. - **Refresh Token**: I token di accesso hanno una durata limitata per design (tipicamente 1 ora). Un refresh token consente all'applicazione di richiedere un nuovo token di accesso senza richiedere la ri-autorizzazione dell'utente. Ecco perché le integrazioni FlipLink continuano a funzionare senza che dobbiate ricollegarvi ogni giorno. Ogni token porta un ambito definito — un insieme di permessi che limita ciò che l'applicazione può fare. Un token con ambito "spreadsheets.write" non può leggere email o accedere a file al di fuori del foglio autorizzato. Questo principio del minimo privilegio è centrale nel modello di sicurezza di OAuth.

OAuth è sicuro per design, ma la sua sicurezza dipende da un'implementazione corretta da parte di tutte le parti coinvolte: - **Archiviazione dei token**: I token di accesso e refresh devono essere archiviati in modo sicuro lato server, mai esposti nel codice client-side o negli URL. FlipLink archivia tutti i token delle integrazioni crittografati sui propri server. - **Limitazione dell'ambito**: Le applicazioni dovrebbero richiedere solo i permessi minimi necessari. FlipLink richiede accesso in scrittura a un foglio di calcolo specifico, non un accesso ampio all'intero account Google. - **Revoca dei token**: Gli utenti dovrebbero verificare periodicamente quali applicazioni hanno accesso ai propri account. Sia Google che Stripe forniscono dashboard dove potete visualizzare e revocare le applicazioni autorizzate. - **Requisito [HTTPS](/glossary/https)**: Tutti i flussi OAuth devono avvenire su HTTPS per prevenire l'intercettazione dei token durante il processo di autorizzazione. FlipLink applica HTTPS per tutte le comunicazioni API e i callback delle integrazioni. - **Rischio phishing**: Gli aggressori talvolta creano schermate di autorizzazione false che imitano servizi legittimi. Verificate sempre di essere sul dominio effettivo del servizio (accounts.google.com, non goog1e-auth.com) prima di concedere i permessi.

**Cosa succede se revoco un token OAuth?** L'integrazione smette di funzionare immediatamente. Ad esempio, se revocate l'accesso di FlipLink al vostro Google Sheets dalle impostazioni del vostro account Google, i nuovi lead non si sincronizzeranno più con il foglio di calcolo. Potete ricollegarvi in qualsiasi momento ri-autorizzando tramite la dashboard di FlipLink. **FlipLink memorizza la mia password Google o Stripe?** No. OAuth è specificamente progettato per evitare la condivisione delle password. FlipLink riceve solo un token di accesso con permessi limitati. Le vostre password rimangono esclusivamente presso Google e Stripe. **Posso limitare ciò a cui FlipLink può accedere nel mio account Google?** Sì. Durante il flusso di autorizzazione OAuth, la schermata di consenso mostra esattamente quali permessi FlipLink sta richiedendo. FlipLink richiede solo l'ambito minimo necessario — tipicamente l'accesso in scrittura a un singolo foglio di calcolo. Non può accedere alla vostra email, calendario o altri servizi Google.