通往开放授权之路

21世纪的第一个十年中，许多网络极客们都非常抵触“密码反模式“（The Password Anti-Pattern），这是一种之前被许多网络服务所采用的第三方授权协议，这种协议要求用户输入邮箱的账号与密码，将服务与邮箱账户进行连接，比如我们大家很熟悉的“从你的MSN联系人中寻找友邻”。虽然方便，但它毫无疑问也是钓鱼大杀器。

人们想到的解决办法就是“开放授权”（OAuth）协议，这种协议的授权不会使第三方接触到用户的账号信息，即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权。假如你曾经将你的微博、邮箱或人人账号授权给某项服务，那么你就是开放授权协议的使用者之一。

开放授权协议一次性解决了许多问题，比如用户的授权过程更为简单，只需点击几下就行，你的账号与密码也不会被有心人得到，服务开发者们也不用为了储存和传输大量的用户账号信息而烦恼。

但如此的便利也带来了另一个弊端：将用户变得越来越不在意自己的账号。即便是资深网民，也会无意识地让自己的账号跟无数第三方应用连接起来，比如俺的豆瓣账号，不经意间也授权给了十好几个应用，微博和人人更不用说，种类繁多的小游戏和“星座信息”之类的杂项服务无一例外都会要求你授权给他们。但是跟社交网站比起来，邮箱中所存有的重要信息明显更多，如果你的常用Gmail账号授权给了许多网站，那么很可能你的私人信息已经暴露的差不多了。

隐私危机

现在我们可以列出一长串需要Gmail第三方授权的应用，功能五花八门：整理邮件、邮件备份、邮件共享等等等等。一旦授权成功，所有的这些应用都会拥有对你邮箱的无限制查看权，这也正是危险之处。也许你相信谷歌能保证你的邮件安全，但是你是否相信三个大学生用三个月写的小程序？或者一个程序员用业余时间编出来的游戏之作？要是这些应用的开发者中有一个心怀不轨，那就大事不妙了。一旦这些应用的授权用户名单被窃取或泄漏，那么所有曾经使用过它们的用户的Gmail全部内容都会暴露。更可怕的是，如果应用开发方没有发现用户信息泄漏，或者隐瞒不报，那么你永远也不会知道自己的邮件历史已经被有心人得到了。

如何应对

很显然，我们不能因噎废食，因为这样的小隐患就废除开放授权协议这样的优秀产品。为了保证我们的个人隐私安全，大家可以这样做：

清理你的第三方应用授权： 现在，马上登陆你的各种常用账号，将那些无关紧要的或你不再使用的第三方应用取消授权，特别是那些拥有Gmail授权的应用。你可以利用这个网站MyPermissions.org来获取自己的授权应用名单。

授权之前要三思： 在你将自己的账号授权给一个应用之前，先查清楚应用开发者的具体信息和他们的隐私保护条款，知道自己到底授权给了谁。一旦你觉得有不对劲的地方，马上点屏幕右上角。

当你怀疑时，马上改密码： 当你觉得自己的邮件有可能被其他人阅读了，或是自己的账号被别人所登陆了，但又不确定是哪次授权引来的狼，那就马上重设你的密码吧。

本文编译自 wired