专栏首页姬小光微信里的“授权”到底是几个意思?

微信里的“授权”到底是几个意思?

作为普通用户,在使用微信的过程中,我们经常会看到各种“授权”,体验着当领导的感觉的同时,也会担心自己的隐私是否会暴露的问题。并且,即使是互联网从业者,也未必都能搞清楚这些“授权”到底是什么意思。那么下面我们就来看看,不同场景下的“授权”到底意味着什么。

为了更清晰地理解“授权”,有必要先讲一下微信里的 openid。其实很多其他平台也有类似的东西,你可以理解为在微信的各个产品里,唯一标识用户的一串字符串,即你在这个产品里唯一的身份证。这个产品可能是公众号,也可能是小程序。后面讲到的几个场景,都是可以在你无感知的情况下拿到这个 openid 的,用来保存你在这个应用中的数据。

所以 openid 本身并不包含什么敏感信息,但是如果这个应用本身保存其他信息的时候,也用 openid 作为用户的唯一标识,那么,当别人知道你的 openid 的时候就有可能会关联到你的信息。当然,除此之外,一般的应用都会有其他的身份校验机制,不在讨论范围。我们还是说回几种“授权”的含义和使用。

1

个人用户:小程序授权

前面有提到,这种情况就是默认可以拿到 openid 来标识用户的。同时还会为用户分配一个 session key,有效期只有 5 分钟,这也是一种身份校验的方式。避免单独拿到 openid 就可以获取其他信息的风险。此外,在解密用户信息和手机号等数据时,也会用到 session key。

小程序里的授权,具体表现是,弹窗请求允许使用某些功能,比如授权获取用户信息、授权获取手机号等,标题会显示“微信授权”:

如果你选择拒绝,那应用程序就什么都拿不到,很棒吧。但是有的同学可能会发现,我好像没有点这个弹窗,为什么也能看到我的头像昵称呢?

不要慌,这里其实使用了微信官方的组件展示的,而应用的开发者并没有实际拿到你的昵称头像信息,只是把你自己的信息展示给你自己看而已。

<open-data type="userAvatarUrl"></open-data>

<open-data type="userGender" lang="zh_CN"></open-data>

具体小程序可以请求使用的能力,如下表所示:

那么授权能否取消呢?能。在 小程序主界面右上角 … -> 关于某某某小程序 -> 右上角 … -> 设置 -> 允许“某某某” ,手动关掉相关设置即可,但是你的昵称头像其实服务器端已经保存了。这里只是禁止再次获取而已,比如你最新更换的头像,他们就拿不到了。

2

个人用户:服务号网页授权

当我们在微信里打开某些网页时,可能会看到这种授权的弹窗。提示某个服务号请求你的授权。同样,服务号的静默授权可以拿到用户的 openid,这个 openid 跟前面的 openid 意义是一样的。但是 openid 是相对于某个小程序或服务号而言的唯一标识,比如这个 openid 跟刚才小程序那个 openid 拿到的值肯定是不一样的。openid 不是你在微信里全局的 ID。

同样,如果不授权,这个网页或者说是应用就无法拿到你的昵称头像等信息,就无法展示你的昵称头像,甚至直接不让你用了。

这个能否取消呢?不能,但是会过期。然而,你的昵称头像都已经被保存了,这个取消授权其实也没什么意义。

除了获取用户信息外,你可能还会遇到有的网页要求获取你的地理位置,或者获取录音功能等。表现上是一样的弹窗,只是功能列表不同而已。这些授权,在后面提到的授权管理界面,是可以关掉的。

3

个人用户:微信登录授权

有些网站应用或者 APP,允许你自己的微信号通过PC扫码登录,或者 APP 跳转的方式,使用微信登录第三方 APP 或应用。在微信的 我 -> 设置 -> 隐私 -> 授权管理,里面可以看到你授权微信登录的所有应用,以及应用能获得的能力,并且可以随时关掉。

这个使用微信登录并不会暴露你微信本身的账号密码给第三方,而是通过一种授权验证的方式,由微信来对接你和第三方的用户体系。所以不用担心微信账号本身的安全问题。不过其他的功能可能就要仔细辨别隐私问题了。

比如你授权了录音功能,那么使用这个 APP 期间就可能在你不知情的情况下录音,不过一般手机在调用硬件时都会有强制的提示,比如任务栏图标等,所以这个还好;再比如授权了朋友关系的应用,就可以向你的好友展示你在这个应用中的状态,比如正在看小黄图啥的~ 至于这个到底算不算隐私,还是你自己说了算。

4

公众号/小程序所有者:授权第三方平台

这里的第三方平台可以理解为在微信开放平台实现的应用,目的是让公众号或小程序运营者在面向垂直行业需求时,可以通过一键登录授权给第三方开发者,来完成相关能力。

具体授权表现为,当你使用某个类似“微信公众号管理后台”的服务时,系统会提示你使用公众号或小程序的管理员微信号扫码授权,选择允许授权到第三方平台的能力。授权之后,公众号的这里能力将由第三方平台托管。

这里要特别注意权限列表,所有权限都授权的时候,几乎相当于完全把你的服务号或者小程序交给平台打理了。平台可以替你发信息,替你回复用户,替你管理用户删除用户等等。所以,如果要授权给第三方平台,一定确保是值得信赖的平台,否则你的帐号很可能会被滥用,比如发布不良信息,导致封号等等。

顺便提一句,同样道理,微博授权登录也是如此。如果授权的能力里包含发微博,那么这个应用就可以在任何时候用你的帐号发一条微博。记得之前某装修平台就是,你只要在 APP 里看了几张图,它就自动发一条非常恶心的广告微博,而且我完全不知情。你的粉丝会以为你要么中毒了,要么就在收钱打广告。

综上,即便是在微信场景下,“授权”也包含了很多种情况。所以无论是普通用户交流,还是产品需求沟通,都应该明确指出,我当前说的到底是哪种授权,这样才能使沟通更加顺畅。

END

文章分享自微信公众号:
姬小光

本文参与 腾讯云自媒体分享计划 ,欢迎热爱写作的你一起参与!

作者:姬小光
原始发表时间:2018-08-20
如有侵权,请联系 cloudcommunity@tencent.com 删除。
登录 后参与评论
0 条评论

相关文章

  • 如何备份可能被删的公众号文章和网页

    我有个习惯,微信里看到的好文章都喜欢发给自己,然后有空的时候来看,但经常发现几天前的文章要不作者删了,要不被投诉删了。

    苏生不惑
  • 万万没想到VFP也可以这样硬,调用微信的硬能力,扫码、上报位置、支付都可以

    公众号的H5网页,里面跑的语言是JS,本质是脚本语言.是没有能力调用硬件的API的. 微信这个是本地APP,本身就有很多调用硬件的能力,比如拍照,扫码,速度计,...

    加菲猫的VFP
  • 罗胖的笑和今日头条的回归,小程序的套路全在这里……

    知晓君
  • 如果你想做小程序,为何不参考一下微信运动?

    知晓君
  • 微信小程序 1 月 9 日正式发布!张小龙解答了 10 大疑问

    知晓君
  • OAuth授权 | 看这篇就够了

    上一篇我们介绍了单点登录(SSO),它能够实现多个系统的统一认证。今天我们来谈一谈近几年来非常流行的,大名鼎鼎的OAuth。它也能完成统一认证,而且还能做更多的...

    小忽悠
  • FinClip小课堂|H5 和小程序到底哪个好?

    许多做产品的同学经常会有这样的疑问:计划开发的移动端产品到底是用 H5 好还是用小程序好?甚至很多开发同学也搞不清楚这两者在具体使用中的优劣。希望这篇文章,能够...

    凡泰极客
  • 微信小程序/H5页面/APP三种形式的应用优缺点分析比较

    风柏杨4711
  • 蘑菇街王飞:不忘初心,All In 微信

    到 2018 年 1 月 9 日,小程序就上线一周年了。为此,知晓程序推出了小程序上线一周年系列文章。这一次,我们邀请到了「蘑菇街女装精选」的王飞来和大家来分享...

    知晓君
  • 微信小程序正式发布!这是最全的上手指南

    知晓君
  • 作为开发者/设计师,我是不会再开发小程序了

    我是一名开发者,严格来说,我也是设计师,我最喜欢干的事情就是从0到1做一款产品出来,包括体验设计、技术实现等,先说说我平时喜欢的开发工具,最喜欢使用Visual...

    mixlab
  • 使用Recast.AI创建具有人工智能的聊天机器人

    很多SAP顾问朋友们对于人工智能/机器学习这个话题非常感兴趣,也在不断思考如何将这种新技术和SAP传统产品相结合。Jerry之前的微信公众号文章C4C和微信集成...

    Jerry Wang
  • 使用Recast.AI创建具有人工智能的聊天机器人

    很多SAP顾问朋友们对于人工智能/机器学习这个话题非常感兴趣,也在不断思考如何将这种新技术和SAP传统产品相结合。Jerry之前的微信公众号文章C4C和微信集成...

    Jerry Wang
  • 小程序一周报

    极乐君
  • 张小龙首次全面阐释微信小程序演讲全文+视频(附最新发布2016微信数据报告)

    大数据文摘
  • 科普 | 一张表格告诉你,到底 H5 和小程序哪个好

    许多做产品的同学经常会有这样的疑问,计划开发的移动端产品到底是用 H5 好还是用小程序好,甚至很多开发同学也搞不清楚这两者在具体使用中的优劣。那么相信读完此篇,...

    姬小光
  • 张小龙演讲干货:微信的未来在哪?这里有7个答案

    作者:微信公开课 ? 1月15日,以“to be正当时”为主题的2018微信公开课Pro版在广州举行,腾讯集团高级执行副总裁、微信事业群总裁张小龙出席并发表演讲...

    钱塘数据
  • 小程序创业指南:不要只是做小程序,而是做一门生意

    本文是九合创投许妙成现场的分享实录,也是九合近一年来在小程序领域的深度调研总结,从功能分类、变现方法、用户黏性等多个维度解析,并提出了基于执行层的建设性意见。希...

    Titan框架
  • 张小龙:小程序将无处不在(内附张小龙最新演讲全文)

    唯物按:张小龙的产品理念在小程序上展现得淋漓尽致。 ? 各位朋友,大家早上好!我是张小龙。 非常感谢大家一大早来到广州参加微信公开课。去年公开课是我第一次露面,...

    AI研习社

扫码关注腾讯云开发者

领取腾讯云代金券