第三方賬戶登陸方式的密碼是如何存儲的？

01-03

QQ、微博等第三方登陸，管理員能看到我的qq或者微博密碼嗎？
第三方登陸有些是需要輸入密碼的，有些是不需要輸入的。
那麼如果以第三方登陸方式登陸了不安全的網站，是否有密碼泄露之虞？

這個問題要詳細講就很長很複雜了，簡要說一下。

首先，你所說的「第三方登陸」概念很模糊，有很多方法可以實現。不過現在主流的方法是使用OAUTH授權，這裡就簡單講一下。

流程：

A網站向第三方網站B申請使用相關登陸服務，B對A進行審核，通過後，B會提供給A相關的調用介面(api)和一些憑證，例如token、id、secret id等等。在用戶登錄時，A會向B提供的介面發送上面提到的憑證並將用戶引導到B的某一頁面進行輸入密碼等登陸操作，B在驗證A和用戶的合法性後，會將部分用戶信息（例如昵稱、郵箱等等，但不包括密碼）發送給A，某些網站B還會授權A對用戶的賬戶進行有限的操作（例如使用用戶賬戶發布信息（qq、微薄等）、讀取用戶的聯繫人（gmail等），該授權可由用戶手動取消），A根據B返回的內容決定對用戶採取的後續操作（繼續完善註冊或者直接顯示內容）。

由上可知，至少在採取oAuth授權協議的網站，你的密碼不會泄露。事實上，絕大部分第三方登陸服務都不會泄露用戶密碼。

但是有個問題，主網站的一些用戶數據（例如購買記錄），客戶端如何獲取？如果用第三方的用戶id（例如qq號）作為查詢參數，那麼安全性有問題；如果採用token方式，那麼如何從token獲得用戶id,進行查詢，畢竟主網站是無法訪問第三方的資料庫的

理論上說，其實這種方式登錄，反而比單獨註冊各個網站要安全多了？

畢竟QQ大規模泄露密碼的情況還是幾率較低的

應該不會,你填寫密碼的頁面是第三方的,他只會返回是否匹配及相關的信息