如果Twitter应用程序使用OAuth,他们肯定会请求我的密码?

我加入了TweetDeck的,并且还坚持它显示的行为,我发布了一个OAuth令牌。

之后我安装了它(0.35.1,Linux),使用我的TweetDeck帐户签入并尝试添加我的Twitter帐户。 在那之后问我的Twitter密码。

如果它使用OAuth,为什么肯定需要我的密码?


更新:

在授权OAuth令牌后,我从Twitter获得了一封电子邮件。 它建议将此作为一个整体应用,而不仅仅是TweetDeck:

  • OAuth是一项现代技术,使您可以使用授权在您的地方使用Twitter访问Twitter,而无需直接询问密码。
  • 台式电脑和移动电话 应用程序可能仍会尽快请求您的密码 但是之后需求,他们被要求使用OAuth来访问您的时间表或允许您发推文。

如果我目前使用互联网直接通过Twitter授权OAuth令牌,我仍然不清楚为什么他们肯定会要求我的密码。

该电子邮件另外声称:

不再允许应用程序存储您的密码。

他们如何被保护免受拯救? “尽快”披露密码即可终身披露。

0
2019-05-18 21:26:06
资源 分享
答案: 2

首先,他们实际上无法防止应用程序保存您的密码。

目前,如果他们是一个行动良好的社区应用程序,密码只是在您的计算机系统上完善(或保存),并发送到Twitter。 这是因为公司在他们的网络服务器上保存密码这种情况真的很多,这是OAuth最初要解决的问题。

一些台式计算机和移动应用程序使用xAuth,一种利用用户名和密码来启动OAuth流通的方法。 这可能是TweetDeck正在做的事情。 一旦您在一个计算机系统上实际认可了TweetDeck,您仍然需要附加其他各种实例,因此需要再次对其进行认证。 因此,当您使用应用程序时(以及每个应用程序分期付款,而非每个应用程序),他们可以获取您的用户名和密码,获取OAuth令牌,还可以存储OAuth令牌。

请记住,在您的计算机系统上运行一个操作良好,值得信赖的桌面计算机应用程序中输入您的用户名和密码并不比在互联网上的twitter.com中输入它更安全。

0
2019-05-21 06:50:09
资源

如果它使用OAuth,为什么肯定需要我的密码?

一些实际上尚未升级以维持OAuth的Twitter应用程序可以利用xAuth API从用户名和密码获取OAuth资格。 只要每个应用程序分期付款,它就会被调用,因为它返回的OAuth令牌没有用完。

他们如何被保护免受拯救?

很明显,Twitter无法阻止他们保存您的密码。 必须接受的twitter API的条款和问题获得应用程序OAuth密钥,不允许状态应用程序存储密码 - 在电子邮件中验证。

没有针对此类安排详细说明的具体处罚,但它肯定会撤销您的OAuth密钥,这肯定会撤销每个客户的OAuth令牌,该令牌是您的应用程序的关键所在,并且也会阻止您再次获取。

0
2019-05-21 06:49:47
资源