问答博客资讯标签用户活动
logo极客观点logo项目管理logoHarmonyOS
开发者社区
javascript
前端
python
node.js
react
vue.js
php
laravel
go
人工智能
mysql
linux
ios
java
android
css
typescript
spring
程序员
logoONES 研发管理logo思否企业问答logo安谋科技 XPU

segmentfault 的登陆设计明显超越了其应该获得的信息

头像
陈若涵
    2012

    第一次来segmentfault, 在第三方登陆的这个功能上就失去了很多安全感, 本来看到这个网站希望能做的不要这么"中国特色", 但依旧失望了.

    举两个例子, 第一次我选择了通过 twitter 认证, 结果这个只是用于登陆的认证就要求授权"更新 Profile", "帮你发推", "查看你的DM".

    接着我选择了 google 账号, 结果它要求查看我的 联系人 资料.

    很没有安全感

    登录
    阅读 4.4k
    1 个回答
    得票最新
    头像
    joyqi
    16.2k3994100

    如果你开发过twitter的认证程序,你就会知道,twitter对权限只有两种区分“只读”和“可写”,其中可写的部分在用户授权时会提醒你,程序可能会用到你在问题中提到的那些功能。

    因为我们在开发twitter的邀请回答功能,所以需要用到用户的写入权限,当然这些功能只在你自己主动使用时才会调用。

    另外对于google帐号的使用,我们使用如下

    https://www-opensocial.googleusercontent.com/api/people/@me/@self

    这个接口,获取你的昵称和简介(这个接口只能获取这两个信息)。而google在授权时将这个接口中文翻译为联系人。你可以在授权的url中看到我们只对这个接口进行了授权。而它显然也不可能获取到其他有可能触及到隐私的东西。

    如果这样也让你没有安全感的话,那就没办法了。我知道国内有些网站在授权的时候会让你自动关注官方微博或者发个推之类的,我们不会这么做。如果我们要这么做,肯定会透明的告知用户,而不会有任何黑箱的设计。

    撰写回答
    你尚未登录,登录后可以
    • 和开发者交流问题的细节
    • 关注并接收问题和回答的更新提醒
    • 参与内容的编辑和改进,让解决方法与时俱进
    推荐问题