用你的Google、Twitter或Facebook帐户登录到另一个网站不仅方便；它比创建一个新帐户，或者在第三方网站上输入你的Google、Twitter或Facebook密码更安全。这就是OAuth的用武之地。下面是它的工作原理，以及它如何在第三方网站上保护您的密码。

昨天，一个名为tweetgiff的Twitter应用遭到黑客攻击，向公众发布了1万个Twitter账户的用户信息。但是，Twitter的凭证没有被泄露，因为tweetgiff使用了一种叫做OAuth的东西。如果您曾经使用Google、Facebook或Twitter帐户登录过第三方网站，并将应用程序权限授予相应的帐户，那么无论您是否知道，您都使用过OAuth，这是一种分配权限的好方法。

oauth的工作原理

假设你想使用像tweetgiff这样的应用程序将有趣的动画GIF文件发布到你的Twitter帐户。为了做到这一点，你需要让Tweetgif应用程序访问你的帐户，这样它就可以获得你的信息并代表你发布tweet。在过去，你必须给Tweetgif这样的应用提供你的Twitter用户名和密码，这样它才能登录并访问这些服务。你不仅要相信他们会明智地使用这些凭证，还要确保他们不受黑客攻击，这是一个相当大的信仰飞跃。这就像把你家的钥匙给了一个陌生人，相信他们不会给他们所有的朋友复印，也不会偷走你所有的东西。

OAuth通过只允许他们访问您希望他们访问的内容来解决这个问题。不需要询问您的密码，而是会发生以下情况：

1. 为了成为Twitter应用程序，Tweetgif从Twitter服务中获得了两个令牌：“消费者密钥”和“消费者秘密”。这就是在消费者（在本例中为tweetgiff）和服务提供商（在本例中为Twitter）之间创建连接的原因。
2. 当你访问Tweetgif并要求它访问你的Twitter帐户时，它会将你重定向回Twitter。如果你没有登录到Twitter，你现在就可以登录了（记住，你的用户名和密码是给Twitter本身的，而不是给Tweetgif的）。

1. Twitter会询问你是否要授权这个应用程序，并告诉你它授予这个应用程序什么权限。也许它可以查看您的时间线，或者它可以查看您的时间线并代表您发布。在某些情况下，你可能只允许它访问你的用户名和头像，在像tl80这样的网站上使用它只是一种更简单、更安全的评论方式，而不必创建帐户。当您单击“授权”按钮时，它将创建一个“访问令牌”和一个“访问令牌密钥”。这些类似于密码，但它们只允许Tweetgif访问您的帐户并执行您允许它执行的操作。

因此，你没有给你整个房子的钥匙，而是给了一把特殊的钥匙，只打开你想让他们进入的一个房间。但是，为了使用这把钥匙，他们必须从警卫那里拿到钥匙，他可以随时把钥匙拿走。

所以你应该使用oauth吗？

那么，为什么这比仅仅输入你的Twitter凭据要好呢？显然，这可以防止第三方应用程序做你不想做的不光彩的事情，但更重要的是，这意味着即使他们像昨天tweetgiff那样被黑客攻击，你的Twitter密码仍然是安全的。黑客仍然可以代表你发帖，跟踪别人，或者做任何你授予Tweetgif访问权限的事情，但你所需要做的只是转到你的Twitter设置并撤销对该应用程序的访问。这样一来，你的代币就没用了，你的账户又在你的控制之下，甚至不必更改你的密码。

这一新趋势的一大缺点是，有些网站可能会让你使用Facebook或Twitter登录，并试图发布到你的个人资料中，即使这不是真的必要。有些网站，比如Turntable.fm音乐播放器，不允许你只创建一个帐户，他们让你用Facebook或Twitter登录。这很方便，因为你不必创建帐户，但它会尝试将你在他们网站上所做的事情发布到你的个人资料中。类似地，Google并没有真正告诉您在使用OAuth时授予了哪些权限。为避免出现问题，请确保阅读链接的每个应用程序的隐私策略，如果可以，请注意每个应用程序被授予的权限。如果它做了你不想做的事情，就不要使用这个应用程序。或者，看看它是否有选项在应用程序的设置中关闭该“功能”（例如，Turntable允许你在登录后在其设置中关闭Facebook墙贴）。而且，和往常一样，一定要定期删减你的授权应用程序，这样如果你有一段时间没有使用过其中一个应用程序，你就不会遇到麻烦，你最好彻底摆脱它。