oauth 的权限问题与信息隐忧 | 极客公园

1. 平台 oauth 部署不规范

oauth 部署是否规范，例如有无强制使用 https 加密，有无强制部署 oauth 2.0。对移动应用的授权有无注意应用会自建浏览器，有无注意在信息回传过程中的信息防护，这些都是需要考据的问题。oauth 协议本身没有问题，但是对协议的用途是否规范值得商榷。

事实上，各开放平台之间的技术差异很大，因此每个平台使用并不是相同版本的协议，有 oauth 1.0、oauth 2.0 或混合的技术体系（甚至还有继续使用不安全的 basic auth）。此外，如果你去翻看一下国内各个开放平台的开发文档就会发现，虽然 oauth 整体流程大致类似，但是对于授权的定义各家有各家的标准，对待开发者的态度各不相同，对授权的限制也是各家有各家的标准 ，对用户的账号保护也是各有各的说法。

例如某家开发平台上对待涉及自身利益的时候用“严禁”“禁止”字眼，而涉及用户账号利益的时候就变成了“不应”、“不鼓励” 等字样。再例如，对未审核应用、待审核应用和未通过审核应用的限制，国内只有两家平台对使用人数进行限制外，其他各家都只是稍微限制了一下调用频率次数和不显示来源而已。

综合来看，国内的关于oauth协议标准的实施部署是一个开发者和平台综合博弈的结果。

2. 应用开发者不自律

oauth 的安全性相当一部分需要依靠应用开发者的高度自律，不该有的权限不去申请，但是事实并非如此。正常情况下，平时我们所用的 90% 的应用只需用只读权限即可，但是相反的是，只有 5% 的应用只拥有只读权限。对于开发者开说，尽量获取到用户账户的使用权限似乎是一种”追求“，而不管用不用得到。这不仅让人想起了 android 移动应用上的普遍高权限。

3. 平台审核是否仔细

第三方网站或应用要接入平台需要通过平台的审核，审核是一层对开发者的把关。因为平台竞争的原因，各家审核标准并不一致，实际操作更是谁也不清楚。总体来看，强势的平台限制严格，弱势的平台因为要吸引开发者所以很多事情睁一只眼闭一只眼。

4. 用户对 oauth 的不设防

oauth 协议的实施很类似微软平台下软件的安装，用户经常在一步步的点击中默认”被授权“，因为国内大多数用户暂时还没有注意防护自己账户信息和权限的习惯。