定期检查微信 、QQ「授权登录」功能,避免你的数据被第三方滥用

为了方便用户快速注册,网站或应用往往会提供 QQ、微信、Google 帐号等常用账号授权登录的选项,用户只需要将个人邮箱或者社交帐号授权给第三方作为注册登录的凭证,这样就可以避免让用户在注册账号过程中繁琐填写邮箱 / 手机号码、用户名称等信息。

使用已有的社交帐号直接注册网站服务

授权登录虽然极大方便了用户,但有些服务在获取社交账号信息之后,会在你「不知情」1 的情况下利用这些好友关系,造成隐私泄露的可能。

近日就有用户发现,通过微信登录大众点评后,可以看到微信好友去过的餐厅和酒店,而且这项功能是默认开启的,随后大众点评官微 发表声明,对这一行为道歉,并表示会新增「一键停用第三方全部社交关系」功能,用户可以一键停止关注微信好友,并取消微信好友对自己的关注,在通过微信登录大众点评时,也会给予用户充分提示。

除了希望服务商做好用户数据保护之外,作为用户也应该提升信息安全的意识,定期检查帐号授权登录的信息,将一些许久没用或者已经倒闭的网站或应用服务去除授权登录的权限。下面我们收集了邮箱和网站帐号究竟如何去管理授权登录的权限。

QQ

在这里,我们使用了名为 QQ 互联 的网站,来查看和管理对应 QQ 号码的授权管理信息。登录自己的 QQ 号码,点击右上角头像的「授权管理」按钮,页面会跳转显示你曾经使用这个 QQ 号码授权给哪些网站或者应用。

QQ 互联网站

以我的 QQ 号码为例,曾经授权登录过京东商城,页面显示了初始授权的时间,右侧还提供了授权管理按钮。点击京东商城的授权管理,我们将看到允许应用使用了哪些权限,选择「取消全部授权」即可完成解除授权。

授权管理列表
允许某个应用的权限说明

在使用 QQ 互联的授权管理过程中遇到了诡异的问题,Chrome 不能成功读取授权管理的信息,会提示「认证应用列表拉取失败 err[undefined] 」,反而使用 QQ 浏览器可以成功读取授权信息。

微信

查看和管理微信帐号的授权信息,可以通过以下两种途径:

一是依次打开微信应用的「设置 – 隐私 – 授权管理」,在页面中可到有哪些应用获得授权,点击右上角「管理」按钮,将可以删除相应的授权。不过这一页面显示的授权信息并不完整。

设置 – 隐私
授权管理

二是使用帐号注销的曲线方法,依次打开「设置 – 帐号与安全 – 微信安全中心 – 注销帐号」,将会跳转至社情注销微信帐号的页面,直接点击「申请注销」,这时候会看到由于存在微信与其他 App、网站的授权登录或者绑定的关系 ,导致暂时无法注销,用户就可以了解到曾经给哪些网站和应用授予了微信帐号信息的访问和登录权限。

找到哪些 APP、网站通过微信帐号授权登录

微博

微博同样提供了管理第三方授权的入口,登录网页版微博后,可以在个人首页「管理中心 – 我的应用」中的「我使用过的」里面找到此前授权过的服务,点击「垃圾桶」图标即可取消授权。

Google 帐号

由于 Google 的产品服务属于「一个帐号走天下」的类型,所以我们只需要在 Google 帐号管理的页面中对授权信息进行管理即可。

打开 Google 帐号管理页面,选择「具有帐号访问权限的应用」,或者直接打开 有权访问您帐号的应用页面,Google 将授权应用分为两种类型,一是具有帐号访问权限的第三方应用,二是使用 Google 帐号登录,由于每个第三方应用和网站有可能依据本身业务和功能范围,仅让用户授权访问部分 Google 帐号数据(比如 Google Contacts 联系人、Google+ 社交、Google Drive 网盘数据信息)。

具有帐号访问权限的应用

点击选择某个第三方应用后,Google 提供了应用授权访问了哪些内容、授予权限的日期,如果是 Android 应用的话,还会提供 Google Play 对应链接。

列出了应用授权访问了哪些内容等信息

网易邮箱

进入 邮箱主页,在界面顶部的账号菜单栏中找到「升级服务 – 帐号通」,初次使用帐号通服务的话,系统会提示开启服务。其实,帐号通服务是网易邮箱官方提供用于分析用户邮箱曾经注册过哪些网站。

升级服务 – 帐号通
初次使用帐号通服务,会有开通服务的提醒

开通帐号通服务后,系统将自动检查你曾经使用这个网易邮箱注册或添加了多少个网站,这样对于部分历史悠久的注册信息也会一目了然。

帐号通的分析结果

用户可以在这一分析页面中查看这些注册网站的往来邮件记录,修改备注或者删除记录,其中最为实用的功能是找回密码,比如点击小米网找回密码按钮,页面会自动跳转至小米官网提供的找回密码页面。

帐号通提供了几个实用功能
找回密码的过程

网易邮箱目前还未提供解除授权登录的功能,但我们依然可以通过帐号通找到用邮箱注册过的网站,如果希望删除网站记录信息,需要登录相应网站解除授权,然后在帐号通中删除记录和往来邮件。

微软帐号

在微软帐号管理页面中可以统一查看曾经授予访问权限的应用和服务,打开微软帐号中已授予访问权限的应用和服务的 页面,详细列出了有哪些应用和服务授权访问你的微软帐号信息。

微软帐号页面查看已授予访问权限的应用和服务

以 Inoreader 为例,我曾经在 Inoreader 订阅器设置选项的帐号关联中,关联了 OneNote 帐号,所以在微软帐号管理中,可以看到 Inoreader 已经被授予了相关信息的访问权限,使用「删除这些权限」即可解除 Inoreader 对微软帐号信息的访问权限:

Inoreader 设置中关联了 OneNote 帐号
微软帐号中删除应用授予的权限

帐号授权管理体现更多的安全意识

授权管理方便了用户在注册使用第三方网站和应用时手动输入太多信息,直接使用热门的帐号体系授权登录极大提升了服务商的新用户导入速度和数量,但是由于数据信息的保存和托管上还不够完善,往往导致更多用户隐私信息的泄露事件。

所以,希望通过这篇查看邮箱和社交帐号授权给哪些网站和应用的分享文,让更多朋友了解到查看和管理授权信息的过程,注意清理一些许久没去登录网站的授权权限,保障关联帐号的信息安全。

如果你希望了解更多授权管理的技术细节,推荐阅读阮一峰老师的 《理解 OAuth 2.0》