現在的很多網站和App常見的幾種登錄方式是:

• 傳統的賬号 密碼登錄
• 手機号 動态驗證碼登錄
• QQ/微信/微博等第三方授權登錄

今日頭條網頁端登錄界面

抛開傳統賬号 密碼的方式不說，手機号 動态驗證碼的方式我在上一篇文章中也有提過，今天我們來着重讨論一下使用QQ/微信/微博等的第三方授權登錄。

簡單來說，就是一個軟件借用别的軟件(第三方)的賬号體系來建立自己的賬号體系以便快速登錄。即可以省去用戶在不同的平台中維護各自的賬号和密碼的麻煩，也可以幫助軟件快速的建立自己的賬号體系，并能更好地提高第三方軟件的知名度，可以說是一個三赢的方案，但現在的很多軟件其實已經把第三方授權登錄玩得似是而非了！

我們需要的QQ/微信/微博等的第三方授權登錄是怎麼實現的呢？為了更好的分析這個問題，我們還是從軟件開發的角度來看看：

并不是所有的平台都支持讓别的軟件使用自己的賬号。

首先，它的知名度要夠高，國内像QQ/微信/微博這種用戶基數大的平台，國外的像什麼Google/Facebook/Github之類的平台。

其次，也是最主要的，這些平台願意開放，願意共享，你才能接入。

最後，是技術層面的支持，最常見的是基于OAuth協議(現在基本上都是基于OAuth2.0協議)搭建自己的開放平台。

注意，開放平台和原生平台是兩回事，一般情況下，原生平台不會将所有的内容都開放，不然他自己還怎麼玩？比如微信的開放平台，簡單的可能隻讓你得到用戶的一些基本資料，像好友列表，錢包什麼的是不會讓你拿到的，具體的要看用戶的授權内容。

現在，大部分的開放平台都是基于OAuth2.0協議搭建的，當一個軟件通過這些開放平台去獲取用戶信息時，需要得到用戶的确認并授權，隻有用戶同意授權之後，這個軟件才會通過得到的訪問令牌(AccessToken)獲得最終用戶在開放平台的信息！

這裡有兩個方面的重要内容:

一是訪問令牌(AccessToken)，當用戶授權軟件去使用QQ/微信/微博的賬号信息時，軟件是不會得到用戶的賬号密碼的，這對用戶來說，是安全的。軟件隻是拿着這個訪問令牌(AccessToken)去QQ/微信/微博的開放平台去獲取内容。

二是用戶的授權，也就是用戶允許軟件訪問的内容。拿一般的登錄來說，當軟件通過QQ/微信/微博登錄時，首先會跳轉到QQ/微信/微博這些軟件的登錄界面，當你輸入正确的賬号和密碼登錄QQ/微信/微博後，會彈出一個授權信息的确認界面(一般是多選框，列出所有的授權信息)，讓你了解你授予了那個軟件多少權利去使用你的賬号。

今日頭條微信授權登錄界面

如: 今日頭條使用微信授權登錄時，會出現如此的确認界面，上面很清楚的可以看到: 今日頭條可以獲得我的微信的公開信息(昵稱，頭像，地區及性别)，僅此而已。

是不是所有軟件都可以接入第三方授權登錄呢？

理論上說，是的。

但接入第三方登錄也是需要一定的條件的，它的一般流程如下：

第一步，軟件開發商需要找到第三方的開放平台（如微信開放平台，QQ互聯，微博開放平台等），注冊成為開發者。

第二步，注冊應用（提供應用名稱，簡介，Logo等相關信息），等待平台審核。

第三步，申請權限（開放平台會根據你的軟件确定你的權限），有些會跟第二步一起完成。

第四步，應用注冊成功後，你會得到你的應用的标識信息。（一般為AppKey和AppSecret的組合）

第五步，根據開放平台提供的API，實現登錄。

第六步，測試與發布。

具體的怎麼獲取授權碼（Authorization Code），然後怎麼換取訪問令牌（AccessToken），怎麼讀取登錄信息，屬于專業的開發人員需要考慮的，開放平台中也都有詳細的文檔，我就不再贅述了。

“為什麼說，所有的軟件理論上都可以接入第三方授權登錄呢？”

因為開放平台對所有的軟件都是一視同仁的。

“那又為什麼加個‘理論上’呢？”

因為開放平台有“嚴格”的審核機制。

審核機制一般也包括兩部分内容：

一是對開發者的審核，不管是個人還是公司，都需要提供相關的資質（如個人實名認證，公司的三證合一等），有些還會繳納一定的費用。以便以後萬一出現問題的時候，有據可查。

二是對應用程序的審核，審核應用是否違反國家政策（包含敏感信息，包含反動言論，涉黃等），是否獲取了不該獲取的應用權限等。

所以說，隻要是正規的應用，都能成功申請接入開放平台。

為什麼說第三方授權登錄被“玩壞”了呢？

我們從第三方的授權登錄的初衷來說，一個軟件完全可以抛開自己的賬号體系，打造輕量級的應用，不用擔心賬号密碼洩露等安全問題，不用擔心用戶流失，減少設計成本等。

但是，現在第三方授權登錄，已經不再是單純的登錄，更多的是綁定，我們也可以叫做僞登錄。就是說，軟件有自己的主體賬号，你可以用軟件的主體賬号登錄，也可以用第三方授權登錄。當你第一次使用時，軟件會根據你使用的第三方登錄賬号的信息，建立一個主體賬号（也可以叫做内部賬号），然後将第三方的登錄信息和你的主體賬号信息綁定到一起。

為什麼會這樣呢？衆所周知，一個軟件要做的好，用戶是最重要的。如果全用第三方登錄的賬号，不建立自己的賬号體系，那萬一第三方賬号體系奔潰了或是和第三方平台鬧矛盾，人家不讓你用了，該怎麼辦？更簡單一點，萬一第三方的服務器宕機了，登錄不了怎麼辦？

所以說，很多軟件的選擇是：在自己的主體賬号之上，綁定第三方的登錄，如今日頭條就是如此，你可以綁定QQ，微信，天翼賬号等賬号，登錄的時候，既可以用手機号登錄，也可以用QQ，微信，天翼賬号等登錄。

第三方授權登錄安全嗎？

說了這麼多，你肯定要問，我用QQ/微信/微博這些第三方賬号登錄，究竟安不安全？會不會洩漏隐私？

我可以很負責的告訴你，隻要你的用法得當，跟用QQ/微信/微博是一樣的安全；至于洩漏隐私的可能性，應該比直接輸入手機号要小很多很多。

為什麼呢？

第一，第三方授權登錄，不會直接讓你輸入第三方賬号的密碼，需要跳轉到第三方去登錄。（所謂跳轉，就是打開真正的QQ/微信/微博等的網站或App）。所以，你的QQ/微信/微博等的賬号和密碼是安全的。

第二，第三方授權登錄，得到的信息有限，而且需要你的授權确認。（如今日頭條使用微信登錄，就隻會得到昵稱，地區，頭像及性别等公開信息，當然了微信号也是可以得到的，未經授權的信息，軟件是無法得到的，如你的好友列表，你的朋友圈，你的錢包等）。

那為什麼又加個“用法得當”呢？

用法得當，就是你得保證，你所用的第三方軟件（QQ/微信/微博）是從正規渠道下載的，或是從正規的網址打開的。

如果是手機中使用第三方授權登錄，一定要保證跳轉（打開）第三方軟件（QQ/微信/微博），然後再輸入登錄信息。

如果是網頁端使用第三方授權登錄，一定要保證跳轉之後的第三方軟件的網址是正确的，然後再輸入登錄信息。（這個怎麼保證呢？很多網站，包括QQ/微信/微博，都提供了掃碼登錄，能掃碼登錄的時候，絕對不要輸入密碼登錄，這樣你會很安全，）

總結

第三方授權登錄，相對來說還是比較安全的，洩漏隐私的可能性也會大大降低，但你要特别注意一下幾點：

1. 使用QQ/微信/微博登錄時，會跳轉到QQ/微信/微博裡面，然後在QQ/微信/微博裡輸入密碼登錄（手機上一般都會有免密登錄，不是第一次登錄可能看不到這一步）。
2. 在使用QQ/微信/微博登錄時，會有軟件可以獲取的權限的說明，一定要看清楚，如果你覺得超出了你的接受範圍，可以選擇拒絕。
3. 在網頁端登錄QQ/微信/微博時，可以掃碼的話，就不要選擇輸入賬号 密碼了，掃碼更安全。

,

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!

查看全部