原野之狼的笔记 https://bbs.21ic.com/?461781 [收藏] [复制] [RSS] 原野之狼在21IC的地盘

日志

浅谈第三方登录的安全性问题

已有 1210 次阅读2014-10-27 14:31 |系统分类:兴趣爱好| 第三方登录, 21QA

很多网站都有使用第三方账号登录的功能,比如使用QQ账号登录。

那么这种方式的安全性如何?最近我正好研究了一下这个问题。

目前流行的第三方账号登录是使用的OAUTH2机制。

The OAuth 2.0 authorization framework enables a third-party
   application to obtain limited access to an HTTP service, either on
   behalf of a resource owner by orchestrating an approval interaction
   between the resource owner and the HTTP service, or by allowing the
   third-party application to obtain access on its own behalf.  This
   specification replaces and obsoletes the OAuth 1.0 protocol described
   in RFC 5849.[/code]

简单来说就是用户授权一个访问KEY给某特定的网站,然后该网站可以通过该访问KEY来访问用户授权的资源,而不需要把用户名和密码暴漏出去。

那么安全性如何?如果该机制安全性有重大问题的话,你可以写篇文章给标准组织,那么你很快就出名了!

虽说安全性没有问题,但是使用过程中还是有些安全事项需要注意的。

1、请确认跳转到授权的页面是OAUTH2服务方提供的页面。比如QQ账号登录的授权地址以
  1. openapi.qzone.qq.com
复制代码
打头,若域名不对,请马上终止操作。

2、请确认请求的授权选项是不是你可以接受的,如果授权选项太多,你可以终止操作,或者去掉一些选项。

3、授权之后的回调页面,如果要求你输入其它的隐私信息,比如QQ号码、QQ密码之类的,那么务必要谨慎,很有可能会记录你的隐私信息。

以上几条做到了,那么就不用担心安全问题了。

OK,下面进入王婆卖瓜环节~

21QA社区目前已经接入了第三方账号登录功能,目前仅支持QQ账号登录。该功能已经通过了腾讯官方的验证,目前已经开放使用了。且21QA严格遵守腾讯的审核标准,仅申请有限授权,且不记录隐私信息,大家可以放心使用。

进入21QA社区主页后,点击右上角的QQ登录按钮,只需几秒钟就可以完成登录过程,通过这种方式,你再也不用担心会忘记密码了~

好吧,请大家多多支持~

路过

鸡蛋

鲜花

握手

雷人

评论 (0 个评论)