技術(shù)宅

初步認(rèn)識(shí)第三方登錄

IETF為了解決上述第三方登錄的問(wèn)題，專(zhuān)門(mén)設(shè)立了OAuth工作組，該工作組的主要內(nèi)容是設(shè)立開(kāi)放授權(quán)的標(biāo)準(zhǔn)。

OAuth的初步標(biāo)準(zhǔn)，是允許第三方網(wǎng)站在用戶(hù)授權(quán)的前提下，訪問(wèn)用戶(hù)存儲(chǔ)在服務(wù)商那里的各種信息，而這種授權(quán)無(wú)需將用戶(hù)名和密碼提供給該第三方網(wǎng)站。OAuth升級(jí)到2.0版之后，IETF將此標(biāo)準(zhǔn)進(jìn)一步延伸，推出了專(zhuān)門(mén)解決第三方客戶(hù)端使用身份認(rèn)證問(wèn)題的OIDC（OpenID Connect）協(xié)議。

目前很多網(wǎng)站使用的第三方登錄，大部分是基于OAuth 2.0協(xié)議或OIDC協(xié)議。以知乎網(wǎng)站為例，在登錄界面中切換到“社交帳號(hào)”登錄，它即顯示出支持使用微信、QQ或者新浪微博賬號(hào)直接登錄（圖1）。點(diǎn)擊相應(yīng)的國(guó)標(biāo)，比如新浪微博，就會(huì)轉(zhuǎn)入新浪網(wǎng)站的認(rèn)證界面，簡(jiǎn)單點(diǎn)擊同意授權(quán)知乎使用部分信息之后，即可返回知乎網(wǎng)站登錄、瀏覽了，十分方便。

①知乎網(wǎng)站的登錄界面

賬號(hào)通用——第三方登錄背后的秘密

按傳統(tǒng)方法登錄一個(gè)網(wǎng)站，正常的流程是先在網(wǎng)站注冊(cè)用戶(hù)名和密碼，網(wǎng)站會(huì)將用戶(hù)的注冊(cè)信息寫(xiě)入服務(wù)器數(shù)據(jù)庫(kù)，這樣用戶(hù)再次登錄時(shí)，網(wǎng)站會(huì)對(duì)用戶(hù)輸入的賬號(hào)和密碼進(jìn)行校驗(yàn)，如果一致則允許登錄。顯然這種傳統(tǒng)的方法需要我們?cè)诿總€(gè)網(wǎng)站都要注冊(cè)一個(gè)賬號(hào)和密碼（圖2）。

第三方登錄則將用戶(hù)注冊(cè)、賬號(hào)驗(yàn)證和需要登錄的網(wǎng)站分開(kāi)，在第三方登錄中主要涉及提供賬號(hào)的服務(wù)商和需要登錄的網(wǎng)站。以QQ賬號(hào)登錄“攝圖網(wǎng)”為例，這里我們將提供服務(wù)的騰訊稱(chēng)為“第一方”，攝圖網(wǎng)稱(chēng)為“第三方”（圖3）。

②傳統(tǒng)網(wǎng)站登錄圖解

③第三方登錄完整流程圖解

首先，當(dāng)用戶(hù)在第三方選擇QQ登錄時(shí)，需要登錄的網(wǎng)站會(huì)通過(guò)第三方登錄SDK向第一方平臺(tái)發(fā)送登錄請(qǐng)求。第三方登錄SDK是提供授權(quán)服務(wù)的第—方網(wǎng)站開(kāi)發(fā)的，比如騰訊針對(duì)旗下賬號(hào)登錄授權(quán)在https：//connect.qq.com/manage.html#/提供開(kāi)放接入功能，申請(qǐng)接入的網(wǎng)站只要按照騰訊的要求添加接入代碼就可以使用開(kāi)放登錄服務(wù)。這樣我們?cè)跀z圖網(wǎng)登錄界面點(diǎn)擊QQ國(guó)標(biāo)后，將會(huì)自動(dòng)跳轉(zhuǎn)到騰訊授權(quán)界面，這是向騰訊發(fā)送登錄請(qǐng)求（圖4）。

第—方平臺(tái)接收到登錄請(qǐng)求，它會(huì)先確認(rèn)用戶(hù)是否已經(jīng)成功登錄第一方平臺(tái)的賬戶(hù)，如果“是”，則準(zhǔn)備一鍵登錄;如果“否”，則要求用戶(hù)先手動(dòng)登錄第—方平臺(tái)?？梢钥吹皆谔D(zhuǎn)到騰訊授權(quán)頁(yè)面后，這里的頁(yè)面會(huì)檢測(cè)用戶(hù)的QQ賬號(hào)是否登錄（圖5）。

如果用戶(hù)已經(jīng)成功登錄第—方平臺(tái)賬戶(hù)，那么第一方平臺(tái)會(huì)返回唯一的不變ID （OpenID）給第三方網(wǎng)站。比如在上述頁(yè)面中，用戶(hù)成功登錄QQ后，這時(shí)騰訊就會(huì)向攝圖網(wǎng)返回一個(gè)標(biāo)識(shí)用戶(hù)身份的ID。接著第三方網(wǎng)站會(huì)將這個(gè)ID儲(chǔ)存到自己的服務(wù)器上，下次用戶(hù)再次登錄時(shí)只要校驗(yàn)這個(gè)ID是否正確即可?？梢钥吹皆跀z圖網(wǎng)的個(gè)人中心，用戶(hù)名正是自己的QQ呢稱(chēng)，這就是一個(gè)典型的第三方登錄實(shí)例（圖6）。

⑥QQ登錄攝圖網(wǎng)

第三方登錄的安全

從上文可以看出，第三方登錄和傳統(tǒng)登錄方式完全不同。這里第三方網(wǎng)站的賬號(hào)注冊(cè)及密碼驗(yàn)證是通過(guò)第—方網(wǎng)站已有的賬號(hào)來(lái)完成的，第三方網(wǎng)站獲得的只是第—方網(wǎng)站返回的用戶(hù)信息ID而已。以上面的攝圖網(wǎng)為例，它并沒(méi)有取得實(shí)際的QQ賬號(hào)和密碼，所取得的不過(guò)是騰訊網(wǎng)站授權(quán)的部分用戶(hù)信息。因?yàn)橘~號(hào)和密碼信息都是保存在騰訊的網(wǎng)站上，所以即使攝圖網(wǎng)被黑客入侵或者數(shù)據(jù)泄露，這里泄露的也只是和QQ賬號(hào)對(duì)應(yīng)的OpenID而已，從而有效地杜絕了“拖庫(kù)”之類(lèi)的事件所造成的損失。

當(dāng)然，以上所謂的安全性，是基于第—方網(wǎng)站而言的，只有第一方網(wǎng)站的技術(shù)可靠，才有真正的安全可言。因此在使用類(lèi)似QQ、微信賬號(hào)登錄其他網(wǎng)站時(shí)，一定要為自己的第一方賬號(hào)設(shè)置一個(gè)強(qiáng)健的密碼，否則這個(gè)密碼的泄露，可能會(huì)導(dǎo)致自己的其他所有第三方網(wǎng)站隱私的泄露！

第三方登錄是用戶(hù)和網(wǎng)站的雙贏

對(duì)于用戶(hù)來(lái)說(shuō)，第三方登錄減少了自己記憶密碼的負(fù)擔(dān)，并且可以更好地保護(hù)自己賬號(hào)和密碼的安全。而對(duì)于網(wǎng)站來(lái)說(shuō)，因?yàn)榈谌降卿涃~戶(hù)和密碼驗(yàn)證都是第一方完成，這樣既可以減少用戶(hù)數(shù)據(jù)的維護(hù)工作，同時(shí)還可以更好地?cái)U(kuò)展市場(chǎng)，比如支持QQ登錄，那么理論上來(lái)說(shuō)所有QQ注冊(cè)用戶(hù)都是自己的用戶(hù)。用戶(hù)得到了方便，網(wǎng)站減輕了資源負(fù)擔(dān)，達(dá)到真正的雙贏。