現在的很多網站和App常見的幾種登錄方式是:

• 傳統的賬號+密碼登錄
• 手機號+動態驗證碼登錄
• QQ/微信/微博等第三方授權登錄

今日頭條網頁端登錄界面

拋開傳統賬號+密碼的方式不說，手機號+動態驗證碼的方式我在上一篇文章中也有提過，今天我們來著重討論一下使用QQ/微信/微博等的第三方授權登錄。

什麼是第三方授權登錄？

簡單來說，就是一個軟體借用別的軟體(第三方)的賬號體系來建立自己的賬號體系以便快速登錄。即可以省去用戶在不同的平台中維護各自的賬號和密碼的麻煩，也可以幫助軟體快速的建立自己的賬號體系，並能更好地提高第三方軟體的知名度，可以說是一個三贏的方案，但現在的很多軟體其實已經把第三方授權登錄玩得似是而非了！

怎麼才能接入第三方授權登錄？

我們需要的QQ/微信/微博等的第三方授權登錄是怎麼實現的呢？為了更好的分析這個問題，我們還是從軟體開發的角度來看看：

並不是所有的平台都支持讓別的軟體使用自己的賬號。

首先，它的知名度要夠高，國內像QQ/微信/微博這種用戶基數大的平台，國外的像什麼Google/Facebook/Github之類的平台。

其次，也是最主要的，這些平台願意開放，願意共享，你才能接入。

最後，是技術層面的支持，最常見的是基於OAuth協議(現在基本上都是基於OAuth2.0協議)搭建自己的開放平台。

注意，開放平台和原生平台是兩回事，一般情況下，原生平台不會將所有的內容都開放，不然他自己還怎麼玩？比如微信的開放平台，簡單的可能只讓你得到用戶的一些基本資料，像好友列表，錢包什麼的是不會讓你拿到的，具體的要看用戶的授權內容。

現在，大部分的開放平台都是基於OAuth2.0協議搭建的，當一個軟體通過這些開放平台去獲取用戶信息時，需要得到用戶的確認並授權，只有用戶同意授權之後，這個軟體才會通過得到的訪問令牌(AccessToken)獲得最終用戶在開放平台的信息！

這裡有兩個方面的重要內容:

一是訪問令牌(AccessToken)，當用戶授權軟體去使用QQ/微信/微博的賬號信息時，軟體是不會得到用戶的賬號密碼的，這對用戶來說，是安全的。軟體只是拿著這個訪問令牌(AccessToken)去QQ/微信/微博的開放平台去獲取內容。

二是用戶的授權，也就是用戶允許軟體訪問的內容。拿一般的登錄來說，當軟體通過QQ/微信/微博登錄時，首先會跳轉到QQ/微信/微博這些軟體的登錄界面，當你輸入正確的賬號和密碼登錄QQ/微信/微博後，會彈出一個授權信息的確認界面(一般是多選框，列出所有的授權信息)，讓你了解你授予了那個軟體多少權利去使用你的賬號。

今日頭條微信授權登錄界面

如: 今日頭條使用微信授權登錄時，會出現如此的確認界面，上面很清楚的可以看到: 今日頭條可以獲得我的微信的公開信息(昵稱，頭像，地區及性別)，僅此而已。

是不是所有軟體都可以接入第三方授權登錄呢？

理論上說，是的。

但接入第三方登錄也是需要一定的條件的，它的一般流程如下：

第一步，軟體開發商需要找到第三方的開放平台（如微信開放平台，QQ互聯，微博開放平台等），註冊成為開發者。

第二步，註冊應用（提供應用名稱，簡介，Logo等相關信息），等待平台審核。

第三步，申請許可權（開放平台會根據你的軟體確定你的許可權），有些會跟第二步一起完成。

第四步，應用註冊成功後，你會得到你的應用的標識信息。（一般為AppKey和AppSecret的組合）

第五步，根據開放平台提供的API，實現登錄。

第六步，測試與發布。

具體的怎麼獲取授權碼（Authorization Code），然後怎麼換取訪問令牌（AccessToken），怎麼讀取登錄信息，屬於專業的開發人員需要考慮的，開放平台中也都有詳細的文檔，我就不再贅述了。

「為什麼說，所有的軟體理論上都可以接入第三方授權登錄呢？」

因為開放平台對所有的軟體都是一視同仁的。

「那又為什麼加個『理論上』呢？」

因為開放平台有「嚴格」的審核機制。

審核機制一般也包括兩部分內容：

一是對開發者的審核，不管是個人還是公司，都需要提供相關的資質（如個人實名認證，公司的三證合一等），有些還會繳納一定的費用。以便以後萬一出現問題的時候，有據可查。

二是對應用程序的審核，審核應用是否違反國家政策（包含敏感信息，包含反動言論，涉黃等），是否獲取了不該獲取的應用許可權等。

所以說，只要是正規的應用，都能成功申請接入開放平台。

為什麼說第三方授權登錄被「玩壞」了呢？

我們從第三方的授權登錄的初衷來說，一個軟體完全可以拋開自己的賬號體系，打造輕量級的應用，不用擔心賬號密碼泄露等安全問題，不用擔心用戶流失，減少設計成本等。

但是，現在第三方授權登錄，已經不再是單純的登錄，更多的是綁定，我們也可以叫做偽登錄。就是說，軟體有自己的主體賬號，你可以用軟體的主體賬號登錄，也可以用第三方授權登錄。當你第一次使用時，軟體會根據你使用的第三方登錄賬號的信息，建立一個主體賬號（也可以叫做內部賬號），然後將第三方的登錄信息和你的主體賬號信息綁定到一起。

為什麼會這樣呢？眾所周知，一個軟體要做的好，用戶是最重要的。如果全用第三方登錄的賬號，不建立自己的賬號體系，那萬一第三方賬號體系奔潰了或是和第三方平台鬧矛盾，人家不讓你用了，該怎麼辦？更簡單一點，萬一第三方的伺服器宕機了，登錄不了怎麼辦？

所以說，很多軟體的選擇是：在自己的主體賬號之上，綁定第三方的登錄，如今日頭條就是如此，你可以綁定QQ，微信，天翼賬號等賬號，登錄的時候，既可以用手機號登錄，也可以用QQ，微信，天翼賬號等登錄。

第三方授權登錄安全嗎？

說了這麼多，你肯定要問，我用QQ/微信/微博這些第三方賬號登錄，究竟安不安全？會不會泄漏隱私？

我可以很負責的告訴你，只要你的用法得當，跟用QQ/微信/微博是一樣的安全；至於泄漏隱私的可能性，應該比直接輸入手機號要小很多很多。

為什麼呢？

第一，第三方授權登錄，不會直接讓你輸入第三方賬號的密碼，需要跳轉到第三方去登錄。（所謂跳轉，就是打開真正的QQ/微信/微博等的網站或App）。所以，你的QQ/微信/微博等的賬號和密碼是安全的。

第二，第三方授權登錄，得到的信息有限，而且需要你的授權確認。（如今日頭條使用微信登錄，就只會得到昵稱，地區，頭像及性別等公開信息，當然了微信號也是可以得到的，未經授權的信息，軟體是無法得到的，如你的好友列表，你的朋友圈，你的錢包等）。

那為什麼又加個「用法得當」呢？

用法得當，就是你得保證，你所用的第三方軟體（QQ/微信/微博）是從正規渠道下載的，或是從正規的網址打開的。

如果是手機中使用第三方授權登錄，一定要保證跳轉（打開）第三方軟體（QQ/微信/微博），然後再輸入登錄信息。

如果是網頁端使用第三方授權登錄，一定要保證跳轉之後的第三方軟體的網址是正確的，然後再輸入登錄信息。（這個怎麼保證呢？很多網站，包括QQ/微信/微博，都提供了掃碼登錄，能掃碼登錄的時候，絕對不要輸入密碼登錄，這樣你會很安全，）

總結

第三方授權登錄，相對來說還是比較安全的，泄漏隱私的可能性也會大大降低，但你要特別注意一下幾點：

1. 使用QQ/微信/微博登錄時，會跳轉到QQ/微信/微博裡面，然後在QQ/微信/微博里輸入密碼登錄（手機上一般都會有免密登錄，不是第一次登錄可能看不到這一步）。
2. 在使用QQ/微信/微博登錄時，會有軟體可以獲取的許可權的說明，一定要看清楚，如果你覺得超出了你的接受範圍，可以選擇拒絕。
3. 在網頁端登錄QQ/微信/微博時，可以掃碼的話，就不要選擇輸入賬號+密碼了，掃碼更安全。