瞭解oauth:當你用google、twitter或facebook登入一個站點時會發生什麼
用你的Google、Twitter或Facebook帳戶登入到另一個網站不僅方便;它比建立一個新帳戶,或者在第三方網站上輸入你的Google、Twitter或Facebook密碼更安全。這就是OAuth的用武之地。下麵是它的工作原理,以及它如何在第三方網站上保護您的密碼。
昨天,一個名為tweetgiff的Twitter應用遭到駭客攻擊,向公眾釋出了1萬個Twitter賬戶的使用者資訊。但是,Twitter的憑證沒有被洩露,因為tweetgiff使用了一種叫做OAuth的東西。如果您曾經使用Google、Facebook或Twitter帳戶登入過第三方網站,並將應用程式許可權授予相應的帳戶,那麼無論您是否知道,您都使用過OAuth,這是一種分配許可權的好方法。
oauth的工作原理
假設你想使用像tweetgiff這樣的應用程式將有趣的動畫GIF檔案釋出到你的Twitter帳戶。為了做到這一點,你需要讓Tweetgif應用程式訪問你的帳戶,這樣它就可以獲得你的資訊並代表你釋出tweet。在過去,你必須給Tweetgif這樣的應用提供你的Twitter使用者名稱和密碼,這樣它才能登入並訪問這些服務。你不僅要相信他們會明智地使用這些憑證,還要確保他們不受駭客攻擊,這是一個相當大的信仰飛躍。這就像把你家的鑰匙給了一個陌生人,相信他們不會給他們所有的朋友影印,也不會偷走你所有的東西。
OAuth透過只允許他們訪問您希望他們訪問的內容來解決這個問題。不需要詢問您的密碼,而是會發生以下情況:
- 為了成為Twitter應用程式,Tweetgif從Twitter服務中獲得了兩個令牌:“消費者金鑰”和“消費者祕密”。這就是在消費者(在本例中為tweetgiff)和服務提供商(在本例中為Twitter)之間建立連線的原因。
- 當你訪問Tweetgif並要求它訪問你的Twitter帳戶時,它會將你重定向回Twitter。如果你沒有登入到Twitter,你現在就可以登入了(記住,你的使用者名稱和密碼是給Twitter本身的,而不是給Tweetgif的)。
- Twitter會詢問你是否要授權這個應用程式,並告訴你它授予這個應用程式什麼許可權。也許它可以檢視您的時間線,或者它可以檢視您的時間線並代表您釋出。在某些情況下,你可能只允許它訪問你的使用者名稱和頭像,在像tl80這樣的網站上使用它只是一種更簡單、更安全的評論方式,而不必建立帳戶。當您單擊“授權”按鈕時,它將建立一個“訪問令牌”和一個“訪問令牌金鑰”。這些類似於密碼,但它們只允許Tweetgif訪問您的帳戶並執行您允許它執行的操作。
因此,你沒有給你整個房子的鑰匙,而是給了一把特殊的鑰匙,只打開你想讓他們進入的一個房間。但是,為了使用這把鑰匙,他們必須從警衛那裡拿到鑰匙,他可以隨時把鑰匙拿走。
所以你應該使用oauth嗎?
那麼,為什麼這比僅僅輸入你的Twitter憑據要好呢?顯然,這可以防止第三方應用程式做你不想做的不光彩的事情,但更重要的是,這意味著即使他們像昨天tweetgiff那樣被駭客攻擊,你的Twitter密碼仍然是安全的。駭客仍然可以代表你發帖,跟蹤別人,或者做任何你授予Tweetgif訪問許可權的事情,但你所需要做的只是轉到你的Twitter設定並撤銷對該應用程式的訪問。這樣一來,你的代幣就沒用了,你的賬戶又在你的控制之下,甚至不必更改你的密碼。
這一新趨勢的一大缺點是,有些網站可能會讓你使用Facebook或Twitter登入,並試圖釋出到你的個人資料中,即使這不是真的必要。有些網站,比如Turntable.fm音樂播放器,不允許你只建立一個帳戶,他們讓你用Facebook或Twitter登入。這很方便,因為你不必建立帳戶,但它會嘗試將你在他們網站上所做的事情釋出到你的個人資料中。類似地,Google並沒有真正告訴您在使用OAuth時授予了哪些許可權。為避免出現問題,請確保閱讀連結的每個應用程式的隱私策略,如果可以,請註意每個應用程式被授予的許可權。如果它做了你不想做的事情,就不要使用這個應用程式。或者,看看它是否有選項在應用程式的設定中關閉該“功能”(例如,Turntable允許你在登入後在其設定中關閉Facebook牆貼)。而且,和往常一樣,一定要定期刪減你的授權應用程式,這樣如果你有一段時間沒有使用過其中一個應用程式,你就不會遇到麻煩,你最好徹底擺脫它。
- 發表於 2021-05-26 08:23
- 閱讀 ( 5 )
- 分類:網際網路
你可能感興趣的文章
10安全檢查每個人都應該定期進行
... 在Facebook上,訪問您的設定頁面,然後單擊左側欄上的隱私。檢視此處的設定,以更改誰可以檢視您的帖子、誰可以與您聯絡,以及誰可以使用搜索查詢您。您還應該檢視時...
我怎麼知道VPN不會攔截銀行登入資訊?
... 當你訪問美國銀行的網站,你會看到一個綠色掛鎖圖示在網址欄。這表明您是使用HTTPS連線的,因此您傳輸的敏感資訊(即使沒有VPN)也是透過加密來保護的。只有你的機...
最好的chrome擴充套件
... 如果你花很多時間在Reddit、Twitter和Facebook等網站上,那麼很難避免那些受歡迎的電視節目和電影的寵兒。對體育比賽來說更糟,你永遠不知道什麼時候會有人天真地提到結果。 ...
數百萬個應用程式如何容易受到一次安全駭客攻擊
...方應用程式或網站。一些最常見和最著名的例子是Google、Facebook和Twitter。 ...
使用社交登入?採取以下步驟保護您的帳戶
... facebook:什麼是互聯的? ...
如何繞過被封鎖的網站和網際網路限制
...2016年的**活動,斯里蘭卡在2019年4月恐怖襲擊後停止訪問Facebook,據說是為了防止假新聞的傳播。 ...
什麼是漸進式web應用,如何安裝?
... 看看下面的影片,看看當你訪問Twitter移動網站時會發生什麼。 ...
當你退出社交媒體時會發生什麼?6我學到的東西
...麼做。你不知道下一步該去哪裡,因為你去網路遊戲——Facebook和Twitter——已經不見了。但別擔心。這不會持續太久,因為你很快就會發現另一種不同的分心。你甚至可以找到更多的時間來學習一個新的愛好。我喜歡有趣的新聞...
如果google chrome警告某個站點不安全該怎麼辦
...媒體賬戶上使用這個密碼,你也不會喜歡陌生人看到你在Facebook上儲存的所有個人資訊。透過這種訪問,他們可以預測你的線上行為,並對其他密碼進行有根據的猜測。 ...
如何在你的wordpress網站上安裝和設定jetpack
...增到您的文章中,以及一個設定,在每篇文章中新增(非Facebook)“Like”按鈕。 ...
