为什么我不应该以编程方式向 Facebook/Twitter/Amazon/等提交用户名/密码？

Question

我希望有一个中央、完全可定制、开源、通用的登录系统，允许您登录和管理所有在线帐户（也许有？）...

我刚刚发现 RPXNow 今天开始构建 Sinatra 应用程序来登录 Google、Facebook、Twitter、Amazon、OpenID 和 EventBrite，看起来可能会节省一些时间。

但我一直想知道，我不是身份验证专家，为什么我不能拥有一个时尚的登录页面说“输入用户名和密码，并检查您的登录服务”，然后在后台从 中抓取登录页面EventBrite 并通过 Mechanize 以编程方式提交表单，或者使用 API（如果有）？如果他们不必通过弹出窗口和重定向并且可以使用任何以前存在的帐户，那么它会更加干净，用户体验也会更好。

我的问题是：

• 我不应该做这样的事情的原因是什么？

我对 cookie/会话/安全性的详细细节了解不多，所以如果您能进行描述性的或向我指出一些有用的链接，那就太好了。谢谢！

编辑：

我熟悉 OpenID 和 API。我真的很想知道事情的安全/法律/保密方面。我完全理解保密部分，不知道是否有任何关于此的合法记录，但假设它在 ssl 下，并且我不存储任何数据（将存储 cookie 和令牌），那么安全隐患是什么？

Answer 1

如果我访问您的网站并给您我的 gmail 密码，我如何保证您不会阅读我的所有电子邮件，甚至发送您自己的几封电子邮件？如果你变得聪明一点并说“人们重复使用密码，我不妨尝试一下这个密码是否适用于他的银行帐户”。

作为用户，我不信任您的网站使用我的密码。

Open Id 和 OAuth（这就是 RPX 使用的）的全部意义在于解决上述问题。我可以为您的网站提供对我的 Facebook 帐户的受限、可撤销和可配置的访问权限，而无需向您的网站提供我的 Facebook 密码。

用户界面令人困惑，我同意。但随着时间的推移，人们会理解它的全部内容，而且会好很多。

Answer 2

如上所述：

• 访问您的 {google|yahoo|etc} 帐户的网站（或网站所有者）不可信不会更改您的密码并将您踢出帐户。

但我觉得还有其他充分的理由：

• 许多人在多个网站或帐户上使用相同的密码（有些人可能在 gmail 和 paypal 上使用相同的密码 ），网站所有者可能会滥用这一点

• 网站所有者不希望为其他网站所有者滥用您的帐户承担责任

• 网站所有者无法以安全方式存储您的用户名和密码。该网站需要能够自动访问它们。因此，在托管服务器上存储了访问这些凭据所需的所有内容。

托管通常发生在共享或虚拟服务器中，托管公司管理员（有时 - 如果托管公司不太意识到 - 其他用户）能够访问它们。

Answer 3

安全和保密。时期。

我相信，甚至像 Facebook 这样的一些网站也不鼓励在他们的服务条款中使用这种方法。如果是这样，这样做将是违法的。