不过比起新兴的 Passkey 规范,针对这个账号问题,其实还有一个更为我们所熟知的替代品——第三方账号授权登录。虽然你可能没有听说过 OAuth 2.0 ,但这个基于 2006 年成立的 OAuth 联盟提出的授权标准的的确确已经陪伴了我们十年了——上至 Sign in with Apple、下到微信登录小程序,里面其实都能看到 OAuth 协议的影子,并且我们每个人都已经在或多或少的使用它了。
使用这些主流的软件账号体系进行授权登录,以及直接关联创建账号,对于亟需新用户的中小规模服务商来说是一笔划算的买卖,最显著的原因莫过于这样可以极大的简化注册流程、变相提升用户转化率。但是对于我们这样的终端用户而言,授权登录却更像是一把双刃剑:一方面,简化的注册流程的确提高了我们的效率,不必再满浏览器的寻找还没有被自己用来注册过的邮箱;但是另一方面,快捷无感的注册流程也为个人隐私泄露埋下了隐患,毕竟这里原本就是在《使用协议》和《授权协议》里玩文字游戏的绝佳场所。在很多情况下,我们其实是不清楚自己究竟授权出去了哪些权利的。
正因如此,能够及时且透彻的了解自己做过哪些授权登录,究竟授权了哪些信息和权限,并且最重要的——了解怎样撤销授权实际上是保护个人信息安全的重中之重。
对于这些乱七八糟的小东西而言,在微信 app 顶部的小程序界面直接把小程序删除是不会清除掉里面的相关数据的。除了在一部分比较良心的小程序里面可以直接相关的账号信息管理之外,我们想要调整微信账号对于小程序的授权,本质上只有一种方法:
但小程序开发者会不会完全删除你的相关信息呢?至少根据微信官方提供的 小程序开发指引 ,以及微信开放社区中的 一些问答 来看,删除与否依然最终是开发者决定的、微信官方不会强制执行:
对于这样的情况,只能建议以后在授权微信账号登录小程序的时候,一定要考虑清楚了再给。
支付宝,或者说整个阿里系应用的账号授权管理,同样因为相互授权和支付宝小程序的加入而变得相当混乱。不过至少对于支付宝来说,管理授权信息的方式相比微信还是更直观一些,你可以在支付宝 app 的「设置 - 隐私 - 个人信息授权管理」中对绝大多数你使用支付宝账户登录的第三方 app(比如高德地图)和支付宝小程序(比如楼下沙县小吃的点餐二维码)进行管理:
如果说前面的那些大服务商至少还有个态度可言的话,新浪微博对于第三方登录授权的管理「虽然称不上是简洁明了吧,至少也可以说是胡搅蛮缠」。想要查看和修改使用微博账号授权登录过的第三方服务,新浪在这里给你留下的路上可谓是:
大坑套小坑,小坑套老坑,坑里还有水,水里藏着钉
因为此时最大的问题,并不是管理的路径有多么曲折,而是新浪微博现在完全不允许你查看和撤销授权登录记录了。此前,你还可以通过登录网页版微博,在个人主页的「我的应用」界面下对调整登录过的第三方 app ,但是在某一次网页版更新之后,新浪直接去除了这个入口:
不过新浪微博也算是个「端起碗来吃肉、放下筷子骂娘」的数典忘祖的典范了,其各种强推移动端 app 弃网页版于不顾的行为简直罄竹难书。那么按理说第三方授权管理如果在网页端找不到,在移动端 app 上面一定得有个管理入口了吧?
新浪说:我不仅能骂娘,我还要砸锅:
我们不知道新浪是从哪里获得的勇气,因为连微信这种历来喜欢胡搅蛮缠的家伙在第三方授权登录的管理上都没有端出这样一副架子。只能说以后在登录 app 的时候,千万不要选用微博账号做授权。
更新于 2023 年 9 月 4 日:
想要对微博账号的授权进行管理,我们最终还得回到网页端,但并不是我们熟悉的 weibo.com ,而是十年前的 微博应用广场 :
在微博应用广场里面,你不仅可以进入「我的应用」中看到你用微博账号给哪些 app 做了授权,还能看到很多非常具有年代感的宣传图:
豆瓣本身对于其他账号系统的授权登录虽然支持范围不广——至今也就只有微信和微博——但是对于管理豆瓣账号的登录授权还是留下了空间的。与前面新浪微博的态度截然相反,你在豆瓣的手机 app 上反而看不到用豆瓣授权登录过的第三方服务,而是需要回到 网页版豆瓣 上,在「我的账号 - 账号管理 - 第三方应用授权」下面才能找到相对应的管理界面:
国内互联网三大家 BAT 中的「B」是如何从百度变成字节跳动(ByteDance)的,大家想必都能说出一二,随着百度在各个服务领域的受挫,时至今日仍然被高频率使用的似乎也就剩下百度网盘了,使用百度账号的授权登录自然也随之式微,目前基本上只拘泥于百度系内的 app 登录了。你可以在百度账号的设置页面中进入「授权管理」来调整第三方登录的授权。
说起字节跳动,支持抖音账号授权登录的 app 规模其实比想象中的还大一些——修图软件「醒图」和剪辑工具「剪映」都支持通过抖音账号直接登录,并且以此提供了一些收藏夹同步之类的联动功能。对于抖音账号的授权管理,你可以在 app 内的「账号与安全 - 授权管理」中查看和修改。
无感授权第三方登录这件事情可以说极大的简化了我们接触和使用新服务的流程,同时也很容易让我们对于类似的授权失去警惕。虽然在很多时候,「授权登录」并不会像语焉不详的用户协议那样不允许就不让你用,但这样四通八达的账号体系背后,很容易在不经意间流露出去的依然是我们自己的隐私——因为在很多时候,我们自己都没有意识到自己的网络账号在日积月累中留下了多少可以被分析的个人信息。及时对这些信息进行筛选和管理,是从源头上防止个人信息被滥用的关键一步。
如果你愿意更加深入的了解这一套基于 OAuth 的账号授权体系,可以参看来自 Cloudflare 的科普文章《什么是 OAuth?》
> 下载 少数派 2.0 客户端、关注 少数派公众号,解锁全新阅读体验