惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

SecWiki News
SecWiki News
量子位
The Cloudflare Blog
美团技术团队
T
The Exploit Database - CXSecurity.com
博客园 - 【当耐特】
Spread Privacy
Spread Privacy
P
Proofpoint News Feed
C
CXSECURITY Database RSS Feed - CXSecurity.com
博客园 - 三生石上(FineUI控件)
T
Tor Project blog
博客园 - 司徒正美
宝玉的分享
宝玉的分享
T
Threatpost
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
S
Secure Thoughts
T
Threat Research - Cisco Blogs
Hacker News: Ask HN
Hacker News: Ask HN
Jina AI
Jina AI
博客园 - 聂微东
A
Arctic Wolf
I
Intezer
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
Know Your Adversary
Know Your Adversary
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
爱范儿
爱范儿
Hugging Face - Blog
Hugging Face - Blog
C
Cyber Attacks, Cyber Crime and Cyber Security
小众软件
小众软件
T
Tailwind CSS Blog
The Hacker News
The Hacker News
L
LINUX DO - 最新话题
Hacker News - Newest:
Hacker News - Newest: "LLM"
WordPress大学
WordPress大学
S
SegmentFault 最新的问题
TaoSecurity Blog
TaoSecurity Blog
Project Zero
Project Zero
博客园 - 叶小钗
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
Cloudbric
Cloudbric
雷峰网
雷峰网
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
大猫的无限游戏
大猫的无限游戏
D
Darknet – Hacking Tools, Hacker News & Cyber Security
T
Troy Hunt's Blog
酷 壳 – CoolShell
酷 壳 – CoolShell
V2EX - 技术
V2EX - 技术
The GitHub Blog
The GitHub Blog
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
P
Privacy & Cybersecurity Law Blog

少数派

派早报:Google 发布 Fitbit Air 等 - 少数派 「新人报到」確認需求,再開始 - 少数派 从 SOLO 独立开发者社区,我看到了越来越多开发者开始做自己的产品 - 少数派 我怎么管理那些"不常做,但总会忘"的生活事项 - 少数派 人形机器人量产元年,数据才是具身智能的“生死线” - 少数派 BuhoLaunchpad 高度还原 Mac 启动台:开发历程与思考 - 少数派 五年陪伴依然不舍,DIY 换壳后让罗技 MX Master 3 继续服役 - 少数派 新玩意 240|少数派的编辑们最近买了啥? - 少数派 一日一技|为什么你应该关闭 iOS 的键盘声音 - 少数派 我做了个插件和 Skills,一键提取任何网站的设计规范 Design.md - 少数派 住在三四线城市的你,该开始录播客了 - 少数派 甘南秘境,大白高国 - 少数派 AI的审美:谁让把我变成川内倫子 - 少数派 返工怎能不烦恼,打工人片单总有一部是你的「嘴替」 - 少数派 为了让「上厕所」更健康,我做了一个小工具 - 少数派 AI + Skill,能够让生成的文章去除 AI 味吗? - 少数派 新玩意|韶音OpenDots ONE 耳夹式耳机 - 少数派 《美满》| 在每一个春天的晚上相爱(362) - 少数派 新玩意|优篮子 PS01 MagSnap 磁吸支架 - 少数派 自我整合手记 | 我开始早睡了:用稳定规则,为自由托底 - 少数派 用龙虾(OpenClaw)两个多月,我最深的12个体会 - 少数派 听歌时间到,12 张你可能错过的 2025 华语乐坛好专辑 - 少数派 承诺能追吗 - 少数派 macOS 26启动台没了? 我做了个不一样的App启动器 - Keboard - 少数派 《四海为家的人》| INTJ对话INTJ(361) - 少数派 你发过的那些黑历史,是时候一次清干净了 - 少数派 新玩意:安安静静玩,越玩越专注:计客密码机 - 少数派 iPad 用户首次体验 Android 平板:vivo Pad6 Pro - 少数派 数据逻辑强 - 少数派 极北行+ | 一路向北,探访日本至北之地 | 001 - 少数派 万字剖析:千问App深度体验报告(2026) - 少数派 在2026年,如何真正防止别人抄袭你的作品 - 少数派 怎么用 50 块搭个 AI 语音助手?我踩了 3 天坑 - 少数派 YeeroAI:让 AI 对话真正成为知识管理的一部分 - 少数派 爬泰山 - 少数派 「旅图显影」 App 更新:这次,我们补上了一点「手感」 - 少数派 假期出门太折磨?我的 23 条经验帮你规划惬意旅行 - 少数派 工作流会变吗 - 少数派 Claude Opus 4.6 怎么用最省钱?我测了 5 种方案 - 少数派 GPT Image 2 让图文并茂不再稀罕 - 少数派 用户侧出发——什么是AI,我要不要学习? - 少数派 找片、转存、整理、播放一条龙!让你的付费网盘值回票价 - 少数派 欢迎试用!日课一问2.0插件 - 少数派 自己做的MDeditor,原本想购买 Typora 试了两次支付不成功,干脆自己做一个 - 少数派 vibe coding了一个 3MB 的小工具,让 ~/Downloads 彻底告别混乱 - 少数派 因为受不了 Mac 的风扇策略,我做了一个风扇控制工具 - 少数派 别只怪模型 - 少数派 Warp 终端的 AI 功能怎么用?我测了一周的体验 - 少数派 AI 写代码老是出 bug?这 5 个配置我后悔没早知道 - 少数派 「新玩意」苹果出相机可能就这样:Sigma BF + 45mm F2.8 DG Contemporary - 少数派 一个面向2030年的AI操作系统是什么样子的:浅谈cola这款有灵魂的Agent - 少数派 别只看写代码 - 少数派 每天解决10个问题,还是一口气攻坚解决400个? - 少数派 AI 交易机器人怎么搭?我用 Claude 跑了一周实盘 - 少数派 Maptoposter Online:把你爱的城市画成艺术海报 - 少数派 Function Calling 怎么用?我测了 3 个模型发现差距真大 - 少数派 Legend Talk:我做了个 AI 圆桌,让 160 位思想家围着你的问题转 - 少数派 如何找到自己的蓝方?在小县城寻找压力测试 - 少数派 语音输入与软件接口|2026年聊AI时,我们都聊些什么(上) - 少数派 混动已经卖爆,纯电又来补刀——钛7闪充版简直“不讲武德” - 少数派 本月玩什么|朋友收藏、识质存在、沙罗周期 - 少数派 为什么要每天坚持输出? - 少数派 Claude API 挂了好几个小时,你的项目有备用方案吗? - 少数派 Function Calling 没你想的复杂——我用它做了个有点用的工具 - 少数派 登录系统立即播放视频或者图片音乐的软件 - 少数派 我为什么创建 FlipHTML5 下载工具 - 少数派 残局没电?多品牌外设电量统一管理软件EasyBluetooth已支持RTSS游戏内显示以及AIDA64 - 少数派 前往通义路的路 - 少数派 太好看了,媲美Sun的个人导航页,NAS部署星云门户 - 少数派 乌黑嘴唇“一键检测”上线了 - 少数派 派早报:Claude AI 接入多个创意软件生态、FILCO 生产方接手品牌等 - 少数派 【更新】BearCLI、Claude 连接器与 MCP 服务器 - 少数派 记了上千条流水,还是看不懂财务?我做了一个让 AI 读懂账本的工作台 - 少数派 MINI R56 升级原厂 Sport 模式 - 少数派 新玩意 | 一棵柠檬树(仿真版) - 少数派 Momenta的“物理AI”野望,需迈过“含摩量”这道关 - 少数派 网页直接投屏控制手机!NAS一键部署PandaScrcpy,流畅丝滑可远程。 - 少数派 众测|邀你一同探索随身 AI 硬件入口 YoooClaw C·ONE - 少数派 2050大会:分享时间是真诚 参会记 - 少数派 iPad 赋能电影创作:国内首部宣纸手绘长片《燃比娃》的幕后故事 - 少数派 AI的审美:我用 8 个大模型给 100 张旅行照片打分 - 少数派 普通人如何破圈?去参加一个本地协会 - 少数派 把极空间的图标全换了,主题DIY全攻略打造你的专属NAS桌面 - 少数派 电子便签墙,帮你实现便签自由 - 少数派 我如何用三个 CLI 工具取代文档创建需求 - 少数派 原来真的有人可以玩一辈子 - 少数派 社区速递 139 | 派友热议三月买了啥、复古单反尼康 Df 体验 - 少数派 06 作品的赏析与评价 - 少数派 TDS REVIEW|索尼 WF-1000XM6 降噪真无线耳机体验 - 少数派 35.98万起售的第二代腾势D9,我看重的不是堆料,而是不凑合 - 少数派 鼠须管 Squirrel 皮肤配置指北 - 少数派 从watch ultra2换到redmi watch6 - 少数派 派早报:阿里巴巴发布视频生成模型 HappyHorse 1.0 等 - 少数派 别迷信1M - 少数派 家人们天塌了!网盘“大封杀”,多个渠道多条路,NAS部署PanHub - 少数派 AI与人勾心斗角!NAS一键部署AI狼人杀,假日休闲必备。 - 少数派 电商必备!Comfyui工作流批量生图插件,一次生成12张!支持Nano banana pro模型 - 少数派 Comfyui工作流配置Gpt-image-2模型教程,0.03/张 - 少数派 OpenClaw第三方APi怎么配置?可使用Gpt-image-2模型 - 少数派 会员社区话题精选 Ep. 103 - 少数派
第三方登录与 Sign In with Apple - 少数派
2019-06-20 · via 少数派

无论在现实世界还是互联网中,如何证明一个人是「自己」这个问题令无数聪明人绞尽脑汁。为了更好地提供差异化服务与保存个人数据,同时保证数据安全性,用户想要使用互联网世界上的绝大多数服务,不仅需要证明「我是我」,还需要证明「我是真的我」,不是爬虫等机器人在使用你的账号,我们常见的各种验证码正是为此而生。

在第三方登录出现之前,大部分用户账户注册与登录流程都是双输的局面:

  • 用户方面:为了安全性而设置的密码往往复杂又冗余,既容易忘记输入又很麻烦,同时各种难度的验证码和各种验证问题,不仅过滤机器人也能过滤真人,加上手机验证码等等繁琐步骤,让注册登录变得异常烦心。
  • 服务商方面:加上各种验证步骤会明显降低用户体验,可是不加又会导致用户账户不安全和各种机器人账号泛滥,更不用说还要自己探索实现各种验证步骤,一不小心就会出现漏洞。很多时候最后这些繁琐的步骤也没有挡住日益智能的机器人,反而挡住了很多正常用户。
繁琐的验证步骤

第三方登录(OIDC)

为了解决上面提到的各种问题,开放授权(OAuth)在 2010 年应运而生。简单来讲它是一个开放标准,允许用户在不提供密码的情况下,授权接入了 A 网站第三方登录支持的第三方应用,访问自己在 A 网站上的特定数据

接着为了解决安全性问题,OAuth 2.0 诞生了,同时有人发现了这个标准很适合用来登录验证用户身份,于是基于此延伸的标准,专门解决第三方客户端标使用身份认证的问题的 OIDC(OpenID Connect) 诞生了。现在我们见到的大多数第三方登录都是基于 OIDC 或者利用 OAuth 2.0 修改实现。

常见的第三方登录

第三方登录的原理

因为 QQ/微信/微博等平台(以下简称第一方平台)拥有完整的登录验证步骤,用户在上面已经充分地证明了「我是真的我」。所以,第三方网站与服务只要接入了这些平台的第三方登录 SDK(开发组件),用户点击第三方登录按钮时:

  1. 网站或服务会通过第三方登录 SDK 向第一方平台发送登录请求。
  2. 第一方平台接收到登录请求,确认用户设备上有没有已经登录的第一方平台账户,如果没有用户需要先手动登录第一方平台。
  3. 如果用户已经在设备上登录了第一方平台账户,那么第一方平台会返回唯一的不变的 ID(OpenID)
  4. 第三方网站与服务将这个 ID 储存到自己的服务器上,以后就能通过这个 ID 确认用户了。
第三方登录流程图

我们常见的用 QQ 登录/用微博登录等按钮就是这么来的。

这是国内常用的简化方法,更多相关资料可以查看 IBM的介绍

第三方登录的好处

第三方登录打破了之前双输的局面,给用户和第三方服务商带来了不少的好处。

对用户而言,只需要在设备上登录第一方账户就能轻松注册登录大多数第三方网站与服务,免去了记不同密码和各种麻烦的验证步骤,省心又省时。

对第三方服务商而言,首先不用再费心费力实现各种验证步骤,全都交给第一方,只需要等待他们返回 OpenID 就行,接着是不用再保存用户的密码信息,免去了信息泄露的风险。

使用第三方登录还能带来账户安全性的提升,有效避免「钓鱼」与「撞库」情况。

用户根本没有在第三方网站有密码,也就没有需要找回密码的情况,黑客也就更难利用假的重置密码邮件等去「钓出」用户的密码。

第三方网站不保存用户的密码,即使数据库被黑客攻破也拿不到用户密码,免去黑客拿到密码攻击用户其他网站的「撞库」问题(很多用户喜欢在不同网站用同一个密码)。

网站或服务能通过第三方登录获取什么信息

很多人关心的另一个重点是自己点击第三方登录按钮后第一方平台会向第三方网站发送什么信息

其实,当你首次在某个网站点击第三方登录时,第一方平台在确认的时候会显示网站能够获得除了 OpenID 或者 Token/Code 等数据外的数据,就像下面的微信第三方登录就只会提供昵称、头像、地区、性别四个信息给第三方。

微信登录还能随机头像和昵称

只要在登录确认时没有标注,第三方平台不会索取,第一方平台也不会提供更多的类似手机号码、真实姓名、地址、等隐私数据,因为没有必要——第三方平台只需要一个固定不变的标识符来标记用户个人数据,出卖隐私信息给没有太大利益关系的第三方平台也不能给第一方平台带来额外的利益。

第三方登录现在已经成为了主流的登录方式,为了给自家用户带来更好的跨平台与跨设备体验,苹果在今年的 WWDC2019 推出了属于自己的第三方登录服务 —— Sign In with Apple。由于有了前人成熟的基础,这次苹果在第三方登录上更进一步,无论是从安全性还是便捷性上都是如此。

Sign In with Apple 使用方法

当用户打开一个支持 Sign In with Apple 的应用,他们会看到类似下面的按钮:

Sign In with Apple 按钮

点击按钮后,在弹出窗口中系统会展示登录应用后应用能够获取的用户信息,基本上只有用户名和邮箱。

登录确认框

而在邮箱上苹果进行了独特的操作,允许用户指定或者生成一个随机邮箱。随机邮箱很好地避免了邮箱泄漏带来的垃圾邮件骚扰问题,重要的是随机生成的邮箱也可以收到邮件和回复收到的邮件(会转发到用户绑定到 Apple ID 的邮箱),苹果也特别表明了在投递到真实邮箱后将不会保留任何邮件数据。

随机邮箱

确认登录信息后,用户只需要点击继续即可使用 FaceID或者指纹确认完成登录,整个登录流程只有两三下点击操作,不包含任何需要用户输入和验证的流程。

开发者通过 Sign In with Apple 获取的信息

那么对开发者而言(用户也比较关心)使用 Sign In with Apple 能获取到什么用户信息呢?苹果在 WWDC 的 Special Events 上专门展示了这点:

Sign In with Apple 分享的信息

图上就是开发者能拿到的用户信息,一个必须有的标识身份的随机生成的与用户信息无关的 OpenID,用户的姓名和邮箱地址。这些信息和其他第三方登录分享的信息没有太大的区别。

此外,最令开发者高兴的一点是整个登录流程不需要任何自己参与的工作。只需要把按钮放到应用里,不用额外的邮件认证操作,不用保存用户密码,不用费心,自己实现两步验证,甚至不用验证用户是否是机器人(苹果宣称使用了特殊的算法来识别机器人,具体内容没有公开以免被针对性破解),这一切通通后台交给苹果来处理。

Sign In with Apple 对用户的影响

根据苹果的政策,只要应用使用了第三方登录(比如 QQ 登录或者 Google 登录)就一定要添加 Sign In with Apple 按钮,否则不能上架 App Store。并且建议应用将按钮突出显示,比如放在首位或者直接做成下面这种:

把其他第三方登录隐藏起来

可以预见,未来所有应用都会支持 Sign In with Apple,那么对我们而言这又有什么影响呢?

首先是绝大部分人的苹果设备都登录了 Apple ID,所以无论在哪台设备上登录什么应用,流程都会被简化为点一下按钮,就连 Safari 上打开支持的网站也会有原生的带指纹识别的确认框,这极大提升了多设备切换使用的用户体验。

然后,Sign In with Apple 目前只支持所有苹果系统(iOS,MacOS,TvOS,WatchOS 等),至于其他平台(Android,Windows 等)并没有提供 SDK。但是苹果提供了 JavaScript SDK 让用户在浏览器网站上也能使用 Sign In with Apple,第三方平台可以利用这个功能去实现原生的 Sign In with Apple,但这比较曲折和麻烦,取决于其他平台开发者适配的动力。不然用户切换到其他平台的设备就只能使用登录使用网页版的服务了。

Safari 的原生支持

另外,按照政策谷歌或者腾讯在 iOS 上的应用也需要添加 Sign In with Apple,这带来了几个麻烦:

首先是用户数据怎么迁移,比如用户之前用微信登录的王者荣耀,现在如果想要改用 Sign In with Apple,那么游戏数据能否迁移?

苹果官方还没有给出相应的解决方案,把这个问题扔给了公司与开发者,估计大部分公司不会专门为了这个去制作建议用户数据的功能,最后 Sign In with Apple 沦落为一个装饰性的按钮。

然后是两次验证的问题,比如我用 Sign In with Apple 登录 Google 应用后想要访问我的谷歌硬盘又需要用谷歌账号再登录一次。苹果也没有处理这个情况,大部分公司同样也不会专门为了这个去改变自己的验证流程,用户如果用了 Sign In with Apple 只能忍受在不同平台之间验证几次的问题。

关于国内用户

由于实名制的存在,在国内无论用户使用的是 Sign In with Apple 还是其他在国内提供服务的第三方登录平台,都要在登录后验证手机号码。因此即使用户使用了苹果提供的随机邮箱来避免自己被垃圾邮件困扰,也防不了实名验证下的骚扰电话。

总结

随着 FIDO2 等无密码登录技术的发展,未来或许我们连第三方登录按钮都不再需要,但目前它依然是最高效最便捷的用户登录流程,无论国内的第三方登录还是 Sign In with Apple 都是我们可以放心使用的安全登录方式。

但是,作为一个能够有效提升用户黏度的功能,在新用户越来越「值钱」的今天,国内的巨头们(阿里、腾讯)肯定不会任由苹果通过这个按钮分流掉他们的用户。这就是我们为什么基本看不见「使用百度登录」的按钮(日常使用的应用基本都被两大巨头瓜分了)。想要让用户在国内真正无虑地使用,Sign In with Apple 仍有很多的问题等待解决。