第三方賬戶登陸方式的密碼是如何存儲的?
01-03
QQ、微博等第三方登陸,管理員能看到我的qq或者微博密碼嗎?
第三方登陸有些是需要輸入密碼的,有些是不需要輸入的。那麼如果以第三方登陸方式登陸了不安全的網站,是否有密碼泄露之虞?
這個問題要詳細講就很長很複雜了,簡要說一下。首先,你所說的「第三方登陸」概念很模糊,有很多方法可以實現。不過現在主流的方法是使用OAUTH授權,這裡就簡單講一下。流程:A網站向第三方網站B申請使用相關登陸服務,B對A進行審核,通過後,B會提供給A相關的調用介面(api)和一些憑證,例如token、id、secret id等等。在用戶登錄時,A會向B提供的介面發送上面提到的憑證並將用戶引導到B的某一頁面進行輸入密碼等登陸操作,B在驗證A和用戶的合法性後,會將部分用戶信息(例如昵稱、郵箱等等,但不包括密碼)發送給A,某些網站B還會授權A對用戶的賬戶進行有限的操作(例如使用用戶賬戶發布信息(qq、微薄等)、讀取用戶的聯繫人(gmail等),該授權可由用戶手動取消),A根據B返回的內容決定對用戶採取的後續操作(繼續完善註冊或者直接顯示內容)。
由上可知,至少在採取oAuth授權協議的網站,你的密碼不會泄露。事實上,絕大部分第三方登陸服務都不會泄露用戶密碼。
但是有個問題,主網站的一些用戶數據(例如購買記錄),客戶端如何獲取?如果用第三方的用戶id(例如qq號)作為查詢參數,那麼安全性有問題;如果採用token方式,那麼如何從token獲得用戶id,進行查詢,畢竟主網站是無法訪問第三方的資料庫的
理論上說,其實這種方式登錄,反而比單獨註冊各個網站要安全多了?畢竟QQ大規模泄露密碼的情況還是幾率較低的
應該不會,你填寫密碼的頁面是第三方的,他只會返回是否匹配及相關的信息
推薦閱讀:
※每一個單向函數(本身屬於 P 但反函數不屬於)都可以構造一種公鑰密碼嗎?
※瀏覽器保存密碼是否存在安全隱患?
※lastpass 怎麼使用更安全?
※為什麼密碼不可以是漢字?
※如何拯救忘記密碼的機械硬碟?