去年3Q大战之后，开放几乎成为了最热的词汇，随后的国内互联网看似进入了开放平台的“蜜年”，各种基于开放平台的应用和社会化登录也随之出现。

　　将自身的产品和服务与大网站平台对接，不仅能省去注册等繁琐工作，不用为储存和传输大量的用户账号信息而烦恼，还可以迅速的带来流量、用户资源，并得到更好的推广。而对于平台来说通过 API 支持协议可以得到很多的应用接入，可以为用户提供更多更好的服务。这对开发者和平台提供商来说是双赢的局面。因此，QQ 登录、各种微博登录和SNS 登陆也似乎成为了第三方网站或应用的必备按钮。(在昨天腾讯宣布其QQ登录已经成为国内最大第三方帐号登录体系。)

　　本来利用已有的账号登陆这些第三方网站和应用是一件好的事情，因为从体验上来说可以方便用户，但是国内这些“一键登陆”真的是用户想的那样“一键登陆”吗?我们看到一个网站就用我们的账号登陆难道没有隐患吗? 这些”登陆“的背后的关键是什么?

　　如果你有够细心的话会发现所有登陆基本都是弹出一个对应对话框，其地址栏中也都会包含有“OAuth”字样。这说明，其当前采用的是 OAuth 协议。在目前，无论是国外还是国内，绝大部分都是采用OAuth 协议来完成在第三方网站或应用的登陆的。

　　OAuth 是什么?它有什么优点呢?为什么都采用OAuth?

　　OAuth(开放授权)是一个开放标准 ，允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片，视频，联系人列表)，而无需将用户名和密码提供给第三方应用。via 维基百科

　　OAuth 的优点

　　OAuth 不会使第三方网站或应用接触到用户的帐号信息(如用户名与密码)，授权后的http 通信中也不再传输用户信息而是以数字签名和访问令牌(Access Token)取代，即使截到数据包，也无法还原出用户的登录信息。这是OAuth 最大的优点，也是它得以逐渐成为现在通用的授权标准的原因。

　　OAuth 被普及的原因

　　对用户来说方便、安全;对中小第三方网站和应用来说，OAuth 可以使它们能够得到用户基本信息外的其他信息资料和账户部分使用权限;对大网站平台来说，OAuth 可以完美的解决用户的账户安全和开发者授权的平衡问题。因此OAuth 协议确定后就获得了包括国外Twitter、Facebook 和Google 等认可，之后在国内也得到了有效跟进。

　　OAuth 授权的信息隐患

　　凡是只有其利就有其弊，OAuth 也不例外。为什么在安全上看似完美无缺的OAuth 都有信息隐患呢?

　　1. 被滥用了的OAuth 授权

　　OAuth 是一个授权(authorization)协议而不是认证(authentication)协议，因此，对于OAuth 来说最大的信息隐患就是其本身。

　　OAuth 提供的是权限分配而非认证。在国内大多数网站的一键登陆根本没有去区分认证和授权 ，全部混淆为授权。本身用类似OpenID 的简单认证即可完成的事情却非要走授权。而一键登陆在给用户带来便利的同时也带来了另一个弊端：用户变得越来越不在意自己的账号。因为OAuth 协议本身的安全给了我们一种假象：别人获取不到我的账号密码，所以我的账户很安全。我们要明白，授权本身的实质相当于系统为第三方网站/应用开了一个后门，而你的授权就是允许它们可以走后门进来获取你的隐私资料和使用权限。

　　打个比方就是，虽然它们不知道你家的锁长什么样，也没有你家的钥匙，但是人家就是能进得去你家，还可以看你家的电话簿，用你家的电话给你的亲朋好友打电话等。很多其实扮演的只是抄水表的角色，在门外瞅一眼即可，但是偏偏国内那些平台们把水表安到了你家里面，这样很多抄水表的就可以打着抄水表的借口从后门去你家向你的亲朋好友宣传它水表抄的好，想继续去你亲朋好友家抄水表。

　　譬如一些小游戏和星座信息之类的第三方网站和应用，无一例外都会要求我们授权给它们我们的好友关系、生日、相册、评论、甚至地理信息位置。对于我们来说，个人信息的安全不仅仅是我们的用户名和密码，那些“被授权”的都是信息安全的一部分，甚至是最重要的部分。前几天通过QQ 圈子我们也了解到了这些信息有多重要。

　　你授权的网站/应用越多，意味着越多的网站和应用能够接触到你的账户资料并拥有部分使用权限，也意味着隐患越多。虽然它们并没有获取到的你的账户密码，虽然你之后从未登陆过或使用过它们，但是，除非你去隐藏很深的后台设置里面取消它们的权限，否则它们是一直能够接触到你的账户资料并拥有你账户的部分使用权限的。

　　某种程度上说，OAuth 对我们个人信息安全来说是一扇隐形的窗户，而且这个窗户还是默认永久开放的。

(责任编辑：)