长久以来,随着我们使用的网络服务越来越多,每一次注册时都要不厌其烦的填写各种个人信息甚至已经变成了一项单纯的体力劳动。与此同时,每个人手中的各类互联网账号数量自然也是水涨船高,想要准确、安全的记忆和储存这些关乎各种个人隐私的数据也逐渐成为了一门生意,近期更是涌现了比如通行密钥(Passkey)这样的新标准,尝试从新的角度来决解这个繁杂的注册和登录问题。
关联阅读:无密码、更安全的未来,你该如何登录?通行密钥上手体验
不过比起新兴的 Passkey 规范,针对这个账号问题,其实还有一个更为我们所熟知的替代品——第三方账号授权登录。虽然你可能没有听说过 OAuth 2.0 ,但这个基于 2006 年成立的 OAuth 联盟提出的授权标准的的确确已经陪伴了我们十年了——上至 Sign in with Apple、下到微信登录小程序,里面其实都能看到 OAuth 协议的影子,并且我们每个人都已经在或多或少的使用它了。
使用这些主流的软件账号体系进行授权登录,以及直接关联创建账号,对于亟需新用户的中小规模服务商来说是一笔划算的买卖,最显著的原因莫过于这样可以极大的简化注册流程、变相提升用户转化率。但是对于我们这样的终端用户而言,授权登录却更像是一把双刃剑:一方面,简化的注册流程的确提高了我们的效率,不必再满浏览器的寻找还没有被自己用来注册过的邮箱;但是另一方面,快捷无感的注册流程也为个人隐私泄露埋下了隐患,毕竟这里原本就是在《使用协议》和《授权协议》里玩文字游戏的绝佳场所。在很多情况下,我们其实是不清楚自己究竟授权出去了哪些权利的。
正因如此,能够及时且透彻的了解自己做过哪些授权登录,究竟授权了哪些信息和权限,并且最重要的——了解怎样撤销授权实际上是保护个人信息安全的重中之重。
国外御三家
Apple
在个人隐私保护方面,Apple 一直是动作比较积极的,甚至前一阵还在投放过甄子丹老师领衔主演的广告片宣传自己的隐私保护。而伴随着 2019 年 Sign in with Apple 功能的推出,Apple 正式为 Apple ID 拓展了第三方代理登录的功能,并且得益于 Apple 强大的生态号召力,为 Apple ID 登录提供支持软件和网站的范围在过去四年间迅速扩大——更难得的是,很多国产软件也相继提供了支持。
与此同时,Apple 为 Sign in with Apple 提供了非常透明的管理方式。除了在已经登录了 Apple ID 的设备上可以在账号管理页面中的「登录与安全」里调整之外,也可以直接在 appleid.apple.com 上面使用网页端管理。对于每一个使用了 Sign in with Apple 注册和登录的网络服务,Apple 会记录授权登录的时间、执行邮件转发的虚拟邮箱,以及非常明确的中止授权(解绑)按钮:
相比起 Sign in with Apple ,Google 自己的授权登录功能 Sign in with Google 的知名度在国内则显而易见的不是很高。但如果你正在使用 Twitter1、Pinterest、Medium 之类的平台的话,在创建新账号的时候就可以看到使用 Google 账号的选项了:
与 Sign in with Apple 略有不同的是,除了直接通过 Google 账号邮箱创建账号之外,Sign in with Google 在适配的 app 或者网站中也可以扩展到提供 Google Drive 或者 Google 相册的访问。同时,它的使用场景也不仅仅是注册新账号,许多 Play Store 上面的游戏会选择接入 Google Play Games 服务、直接将 Google 账号作为游戏存档同步和奖杯系统的依据(类似依靠 iCloud 同步的 Game Center )——换句话说,Sign in with Google 的被授权登录方能够接触到的账号信息相比 Apple 多了不少。
同样的,想要检查和管理这些账号授权的话,Google 也提供了 Android 设备中的 Google 账号管理和网页两种入口:在 myaccount.google.com 中进入「数据与隐私」界面,就可以找到所有你授权过的第三方 app 与服务(Your connections to third-party apps and services),点击进入详情之后就可以看到它们获得了哪些授权、获得日期、这些权限的具体内容,并且可以一键撤销。
Microsoft
比起 Apple 和 Google ,微软账号的第三方授权使用场景不是那么丰富,反而是在通过第三方邮件客户端中登录 Outlook 邮箱、或者一些可以关联到 OneNote 的 RSS 客户端或是连接到 OneDrive 的第三方应用使用的比较多。对于微软账号,最方便的管理方式就是直接在微软账号的 网页管理界面 上操作了。
在曾经授权过的 app 的界面里,微软会列出你授权使用的具体信息、授权时间和最后使用的时间,以及撤销授权的开关,无需二次确认即可直接移除权限。
Facebook (Meta)
众所周知,御三家指的其实是四所公司 🌝 。
从前两年的高调改名,到扎克伯格的低分辨率截图,再到最近 Thread 横空出世以及八角笼决斗,Meta 公司这几年「不务正业」的氛围似乎越来越浓了。不过哪怕 CEO 和元宇宙都不靠谱,包括 Facebook、Instagram 和 WhatsApp 在内的 Meta 软件生态依然是不容小觑的。此外,由于 Facebook 相比前面三家拥有明显的强社交属性,它同样也成为了很多游戏愿意支持的账号系统。
想要管理用 Facebook 账号授权过的第三方服务的话,可以在 Facebook app 或者网页版的设置中进入「Apps and websites」,里面会列出你授权的具体信息,比如用户名、邮箱、性别信息或者生日等等,同时还给出了一些更加细分的调整项——你可以选择续期,禁用通知甚至是本次授权的可见性(比如向你的好友展示你用 Facebook 账号登录了 Pinterest )——当然,也可以简单干脆的一键撤销授权。
简中三小龙
QQ 与微信
作为国内网络环境中授权登录的大头,QQ 和微信在第三方授权的管理上还算透明。虽然不一定提供了 Apple 或者 Google 那样便捷的网页管理入口(至少 QQ 可以通过 QQ 互联 来管理),但是在对应的 app 内操作还是相对直观的:
然而,虽然管理便捷,但仍然有一个部分是我们无法忽视的:微信小程序。比起使用微信号登录第三方 app ,微信对于使用微信账号授权登录小程序的态度可以说相当的模糊和暧昧——虽然登录小程序很方便、登录同时也可以选择是否要隐藏自己的昵称和头像,但是后续想要对这些授权进行管理却麻烦很多。
对于这些乱七八糟的小东西而言,在微信 app 顶部的小程序界面直接把小程序删除是不会清除掉里面的相关数据的。除了在一部分比较良心的小程序里面可以直接相关的账号信息管理之外,我们想要调整微信账号对于小程序的授权,本质上只有一种方法:
但小程序开发者会不会完全删除你的相关信息呢?至少根据微信官方提供的 小程序开发指引 ,以及微信开放社区中的 一些问答 来看,删除与否依然最终是开发者决定的、微信官方不会强制执行:
对于这样的情况,只能建议以后在授权微信账号登录小程序的时候,一定要考虑清楚了再给。
支付宝
支付宝,或者说整个阿里系应用的账号授权管理,同样因为相互授权和支付宝小程序的加入而变得相当混乱。不过至少对于支付宝来说,管理授权信息的方式相比微信还是更直观一些,你可以在支付宝 app 的「设置 - 隐私 - 个人信息授权管理」中对绝大多数你使用支付宝账户登录的第三方 app(比如高德地图)和支付宝小程序(比如楼下沙县小吃的点餐二维码)进行管理:
其他服务商
新浪微博
如果说前面的那些大服务商至少还有个态度可言的话,新浪微博对于第三方登录授权的管理「虽然称不上是简洁明了吧,至少也可以说是胡搅蛮缠」。想要查看和修改使用微博账号授权登录过的第三方服务,新浪在这里给你留下的路上可谓是:
大坑套小坑,小坑套老坑,坑里还有水,水里藏着钉
因为此时最大的问题,并不是管理的路径有多么曲折,而是新浪微博现在完全不允许你查看和撤销授权登录记录了。此前,你还可以通过登录网页版微博,在个人主页的「我的应用」界面下对调整登录过的第三方 app ,但是在某一次网页版更新之后,新浪直接去除了这个入口:
不过新浪微博也算是个「端起碗来吃肉、放下筷子骂娘」的数典忘祖的典范了,其各种强推移动端 app 弃网页版于不顾的行为简直罄竹难书。那么按理说第三方授权管理如果在网页端找不到,在移动端 app 上面一定得有个管理入口了吧?
新浪说:我不仅能骂娘,我还要砸锅:
我们不知道新浪是从哪里获得的勇气,因为连微信这种历来喜欢胡搅蛮缠的家伙在第三方授权登录的管理上都没有端出这样一副架子。只能说以后在登录 app 的时候,千万不要选用微博账号做授权。
更新于 2023 年 9 月 4 日:
想要对微博账号的授权进行管理,我们最终还得回到网页端,但并不是我们熟悉的 weibo.com ,而是十年前的 微博应用广场 :
在微博应用广场里面,你不仅可以进入「我的应用」中看到你用微博账号给哪些 app 做了授权,还能看到很多非常具有年代感的宣传图:
豆瓣
豆瓣本身对于其他账号系统的授权登录虽然支持范围不广——至今也就只有微信和微博——但是对于管理豆瓣账号的登录授权还是留下了空间的。与前面新浪微博的态度截然相反,你在豆瓣的手机 app 上反而看不到用豆瓣授权登录过的第三方服务,而是需要回到 网页版豆瓣 上,在「我的账号 - 账号管理 - 第三方应用授权」下面才能找到相对应的管理界面:
百度
国内互联网三大家 BAT 中的「B」是如何从百度变成字节跳动(ByteDance)的,大家想必都能说出一二,随着百度在各个服务领域的受挫,时至今日仍然被高频率使用的似乎也就剩下百度网盘了,使用百度账号的授权登录自然也随之式微,目前基本上只拘泥于百度系内的 app 登录了。你可以在百度账号的设置页面中进入「授权管理」来调整第三方登录的授权。
抖音
说起字节跳动,支持抖音账号授权登录的 app 规模其实比想象中的还大一些——修图软件「醒图」和剪辑工具「剪映」都支持通过抖音账号直接登录,并且以此提供了一些收藏夹同步之类的联动功能。对于抖音账号的授权管理,你可以在 app 内的「账号与安全 - 授权管理」中查看和修改。
授权管理的本质仍然是安全意识
无感授权第三方登录这件事情可以说极大的简化了我们接触和使用新服务的流程,同时也很容易让我们对于类似的授权失去警惕。虽然在很多时候,「授权登录」并不会像语焉不详的用户协议那样不允许就不让你用,但这样四通八达的账号体系背后,很容易在不经意间流露出去的依然是我们自己的隐私——因为在很多时候,我们自己都没有意识到自己的网络账号在日积月累中留下了多少可以被分析的个人信息。及时对这些信息进行筛选和管理,是从源头上防止个人信息被滥用的关键一步。
如果你愿意更加深入的了解这一套基于 OAuth 的账号授权体系,可以参看来自 Cloudflare 的科普文章《什么是 OAuth?》
> 下载 少数派 2.0 客户端、关注 少数派公众号,解锁全新阅读体验 📰
> 实用、好用的 正版软件,少数派为你呈现 🚀
想要对微博账号的授权进行管理,我们最终还得回到网页端,但并不是我们熟悉的 weibo.com ,而是十年前的 微博应用广场 :
在微博应用广场里面,你不仅可以进入「我的应用」中看到你用微博账号给哪些 app 做了授权,还能看到很多非常具有年代感的宣传图: