近日,#支付宝账号解除授权# 这个话题登上了微博热搜。此事的起因是有网友在发文吐槽,在查看自己支付宝账号授权的应用后发现"翻都翻不完",“最早的个人信息授权在15年,拉了一分钟不见底”。旋即其他网友纷纷跟风,查起了自己的支付宝账号授权情况。
眼看有越来越多网友模仿,支付宝的客服团队也站出来进行了解释。据称,这些授权多为应用的小程序在快速登陆选项中选择了使用支付宝账号,并按照应用的不同要求授权了不同的信息,例如所在地,账号名称,性别等。支付宝客服方面建议,用户可定期清理自己不常使用或不常见的应用授权。
其实这件事本身并不复杂,是因为“第三方登录”的大规模使用,以及互联网生态高度发达之后的必然结果。有网友之所以会出现支付宝授权记录"翻都翻不完"的情况,其实是因为TA在上网冲浪过程中使用了太多的产品,过于热衷探索新鲜事物。
从某种意义上来说,#支付宝账号解除授权# 能上热搜,正是支付宝作为互联网行业巨头的证据。因为“支付宝授权登录”是需要第三方产品使用支付宝的API接口才能实现,就好比“QQ登录”、“微信登录”、“微博登录”一样,都是因为第三方产品看中了支付宝庞大的用户规模。
第三方登录出现的初衷,是为了解决用户在注册过程中流程繁琐的痛点,尽可能地去降低用户注册的门槛,从而提高用户注册率。不同于如今的互联网产品往往只需要使用手机号就能完成注册,PC互联网那个时代的产品往往需要用户自己想一个账号名才能完成注册。
正是因为多了账号注册的过程,所以PC互联网时代有相当多的网民使用天涯、猫扑时用的是“访客模式”。然而互联网行业又非常依赖风险投资的支撑,而想要说服精明的风投投资,自然就要画饼了。那么如何给轻资产的互联网产品估值呢?用户规模自然是最有效的指标,因此如何促成用户转化就成了一众互联网公司的头等大事。
关于如何实现用户转化,阉割访客模式的体验和使用第三方登录就是最常见的两招。其实原因也很简单,既然用户不喜欢繁琐的注册过程,那么直接使用QQ、微信、支付宝等大厂的产品不就好了。而且有了支付宝这些大厂的信任背书,第三方产品与用户的互信问题也直接被解决。
如此一来,“QQ登录”、“微信登录”、“支付宝登录”很快就在互联网上遍地开花。但问题也随之而来,使用“支付宝登录”会带来了隐私泄露的问题吗?答案其实是否定的,因为第三方登录的正式名称是统一认证(Unified Authentication),目的就是让用户通过一次身份验证即可访问多个应用系统。
为了实现统一认证,业界开发了单点登录(SSO),允许用户在一次登录后自动获得对所有相关应用系统的访问权限,而不需要重复登录。在单点登录(SSO)中有两个重要的角色,即服务提供者(Service Provider,SP)和身份提供者(Identity Provider,IDP),二者之间通过OAuth、OpenID Connect等协议来完成认证。
具体来说,在用户使用“支付宝登录”注册某个第三方App时,第三方App作为服务提供者会通过OAuth从作为身份提供者的支付宝处获得了你的支付宝头像、昵称,以及最重要的支付宝登录状态,而支付宝交付这些信息则需要你输入支付宝的账号和密码。
那么支付宝和第三方App之间会进行账号密码信息的同步吗?肯定不会,毕竟支付宝要是把信息同步,黑客只需要随便开发一个App,然后申请支付宝开发平台,就能随意爬取支付宝的用户信息。毕竟把自家的核心资产公开化,天底下又岂有这种好事。
要知道当年腾讯为了扼杀字节跳动旗下的社交软件“多闪”,就直接要求后者删除多闪用户的头像和昵称。他们之所以有底气进行这种近乎无礼的要求,就是因为多闪App提供了“微信登录”这个选项。但即便如此,多闪从微信处获得的也只有用户的微信头像和昵称。
换而言之,支付宝账号授权应用出现"翻都翻不完"的情况,最糟糕的结果也只是用户的支付宝头像和昵称泄露,第三方App的开发者甚至连支付宝账号名都拿不到。网友们的担忧算是杞人忧天,不过在当下这个用户隐私泄露事件频繁的时间点,有这个安全意识是件好事。
【本文图片来自网络】
