很多网站都有使用第三方账号登录的功能,比如使用QQ账号登录。
那么这种方式的安全性如何?最近我正好研究了一下这个问题。
目前流行的第三方账号登录是使用的OAUTH2机制。
The OAuth 2.0 authorization framework enables a third-party
application to obtain limited access to an HTTP service, either on
behalf of a resource owner by orchestrating an approval interaction
between the resource owner and the HTTP service, or by allowing the
third-party application to obtain access on its own behalf. This
specification replaces and obsoletes the OAuth 1.0 protocol described
in RFC 5849.
简单来说就是用户授权一个访问KEY给某特定的网站,然后该网站可以通过该访问KEY来访问用户授权的资源,而不需要把用户名和密码暴漏出去。
那么安全性如何?如果该机制安全性有重大问题的话,你可以写篇**给标准组织,那么你很快就出名了!
虽说安全性没有问题,但是使用过程中还是有些安全事项需要注意的。
1、请确认跳转到授权的页面是OAUTH2服务方提供的页面。比如QQ账号登录的授权地址以打头,若域名不对,请马上终止操作。
2、请确认请求的授权选项是不是你可以接受的,如果授权选项太多,你可以终止操作,或者去掉一些选项。
3、授权之后的回调页面,如果要求你输入其它的隐私信息,比如QQ号码、QQ密码之类的,那么务必要谨慎,很有可能会记录你的隐私信息。
以上几条做到了,那么就不用担心安全问题了。
OK,下面进入王婆卖瓜环节~
21QA社区目前已经接入了第三方账号登录功能,目前仅支持QQ账号登录。该功能已经通过了腾讯官方的验证,目前已经开放使用了。且21QA严格遵守腾讯的审核标准,仅申请有限授权,且不记录隐私信息,大家可以放心使用。
进入21QA社区主页后,点击右上角的QQ登录按钮,只需几秒钟就可以完成登录过程,通过这种方式,你再也不用担心会忘记密码了~
好吧,请大家多多支持~:handshake |
楼主
标题置顶
标题高亮
