打印
[建议]

简单谈一下第三方登录的安全性问题

[复制链接]
1874|4
手机看帖
扫描二维码
随时随地手机跟帖
跳转到指定楼层
楼主
原野之狼|  楼主 | 2014-10-27 14:27 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
很多网站都有使用第三方账号登录的功能,比如使用QQ账号登录。

那么这种方式的安全性如何?最近我正好研究了一下这个问题。

目前流行的第三方账号登录是使用的OAUTH2机制。

The OAuth 2.0 authorization framework enables a third-party
   application to obtain limited access to an HTTP service, either on
   behalf of a resource owner by orchestrating an approval interaction
   between the resource owner and the HTTP service, or by allowing the
   third-party application to obtain access on its own behalf.  This
   specification replaces and obsoletes the OAuth 1.0 protocol described
   in RFC 5849.


简单来说就是用户授权一个访问KEY给某特定的网站,然后该网站可以通过该访问KEY来访问用户授权的资源,而不需要把用户名和密码暴漏出去。

那么安全性如何?如果该机制安全性有重大问题的话,你可以写篇**给标准组织,那么你很快就出名了!

虽说安全性没有问题,但是使用过程中还是有些安全事项需要注意的。

1、请确认跳转到授权的页面是OAUTH2服务方提供的页面。比如QQ账号登录的授权地址以
openapi.qzone.qq.com
打头,若域名不对,请马上终止操作。

2、请确认请求的授权选项是不是你可以接受的,如果授权选项太多,你可以终止操作,或者去掉一些选项。

3、授权之后的回调页面,如果要求你输入其它的隐私信息,比如QQ号码、QQ密码之类的,那么务必要谨慎,很有可能会记录你的隐私信息。

以上几条做到了,那么就不用担心安全问题了。

OK,下面进入王婆卖瓜环节~

21QA社区目前已经接入了第三方账号登录功能,目前仅支持QQ账号登录。该功能已经通过了腾讯官方的验证,目前已经开放使用了。且21QA严格遵守腾讯的审核标准,仅申请有限授权,且不记录隐私信息,大家可以放心使用。

进入21QA社区主页后,点击右上角的QQ登录按钮,只需几秒钟就可以完成登录过程,通过这种方式,你再也不用担心会忘记密码了~

好吧,请大家多多支持~:handshake

相关帖子

沙发
原野之狼|  楼主 | 2014-10-27 14:34 | 只看该作者
互联网上找不到合适源代码,所以我花了几天时间根据官方文档自己写了一个第三方登录模块,目前工作稳定可靠。

有想了解OAUTH2技术细节的,找机会再谈。

使用特权

评论回复
板凳
原野之狼|  楼主 | 2014-10-28 17:27 | 只看该作者
不聊MZ、ZZ之类的话题就是这个下场     帖子沉底了:(

使用特权

评论回复
地板
天高任鸟飞| | 2014-10-30 11:23 | 只看该作者
满足 遵照

使用特权

评论回复
5
PowerAnts| | 2014-11-2 08:33 | 只看该作者
推广工作可以慢慢来不必操之过急

使用特权

评论回复
发新帖 我要提问
您需要登录后才可以回帖 登录 | 注册

本版积分规则

个人签名:  ← 我在21QA解答技术问题,欢迎您来提问~ ♥♥(o→ܫ←o)♫  ㄟ(▔,▔)ㄏ

187

主题

8547

帖子

280

粉丝