作为普通用户,在使用微信时,我们经常会看到各种“授权”。在体验当领导感觉的同时,我们也担心自己的隐私是否会被暴露。而且,连互联网从业者也未必能搞清楚这些“授权”是什么意思。那么我们来看看“授权”在不同场景下意味着什么。
为了更清楚地理解“授权”,有必要先说一下微信中的openid。事实上,很多其他平台也有类似的东西。你可以把它理解为在每个微信产品中唯一标识用户的一串字符,也就是你在这个产品中的唯一身份证。这个产品可能是公众号,也可能是小程序。在后面提到的几种场景中,你可以在你不知情的情况下获取这个openid,并用它来保存你在这个应用程序中的数据。
因此,openid本身并不包含任何敏感信息,但如果应用程序本身在保存其他信息时使用openid作为用户的唯一标识符,那么当别人知道你的openid时,可能会与你的信息产生关联。当然,除此之外,一般应用还会有其他的身份验证机制,这不在讨论范围之内。我们来谈谈“授权”的几个含义和用途。
1. 个人用户:小程序授权
前面提到,这种情况下可以默认获取openid来识别用户。同时,用户还将被分配一个会话密钥,该会话密钥的有效期仅为5分钟。这也是一种身份验证的方法。避免单独获取openid而获取其他信息的风险。此外,会话密钥还用于解密用户信息、手机号码等数据。
授权在小程序中的具体表现是弹窗请求使用某些功能的权限,例如授权获取用户信息、授权获取手机号码等,标题会显示“微信授权”:
如果您选择拒绝,该应用程序将不会获得任何内容,这很好。但是有的同学可能会发现我好像没有点击这个弹窗,那为什么我还能看到我的头像昵称呢?
不要惊慌,这实际上是使用微信官方组件显示的,应用程序的开发者实际上并没有得到你的昵称和头像信息,它只是显示你自己的信息给你看。
开放数据类型=“userAvatarUrl”/开放数据
开放数据类型=”userGender” lang=”zh_CN”/开放数据
具体小程序可以请求使用的能力如下表:
那么授权可以取消吗?有能力的。小程序主界面右上角.关于XX小程序右上角.设置允许“某某”,手动关闭相关设置即可,但是您的昵称头像实际上已经保存在服务器上。只是禁止再次获得它。例如,他们将无法获得您最新的头像。
2. 个人用户:服务号网页授权
当我们在微信中打开某些网页时,可能会看到这个授权弹窗。提示服务帐户请求您的授权。同样,服务账户的静默授权可以获得用户的openid。这个openid与之前的openid含义相同。但openid是相对于某个小程序或服务帐户的唯一标识符。比如这个openid获取到的值肯定和刚才小程序的openid不一样。 openid 不是您在微信中的全局ID。
同样,如果您不授权,本网页或应用程序将无法获取您的昵称、头像等信息,也无法显示您的昵称头像,甚至直接阻止您使用。
这可以取消吗?不会,但是会过期。不过,你的昵称和头像已经被保存了,所以这个取消授权其实是没有意义的。
除了获取用户信息之外,您可能还会遇到一些网页要求您获取您的地理位置,或者获取录音功能等,弹出的窗口看起来是一样的,但功能列表不同。这些授权可以在后面提到的授权管理界面中关闭。
3. 个人用户:微信登录授权
部分网站应用或APP允许您通过在PC上扫描二维码的方式使用自己的微信ID登录,或者使用微信通过APP跳转的方式登录第三方APP或应用程序。在微信的我设置隐私授权管理中,您可以看到您授权微信登录的所有应用程序,以及应用程序可以获得的能力,并且可以随时关闭。
这种使用微信登录的方式不会将您的微信账号和密码暴露给第三方。相反,微信会通过授权验证的方式连接你和第三方用户系统。所以无需担心微信账号本身的安全问题。然而,其他功能可能需要仔细识别隐私问题。
例如,如果您授权录音功能,则该APP可能会在您不知情的情况下在使用本APP时进行录音。不过一般手机在调用硬件时都会有强制提示,比如任务栏图标等,所以这个还可以;另一个例子是授权。如果你有好友关系应用,你可以向好友展示你在这个应用中的状态,比如看色情图片~至于这是否算隐私,就看你自己了。
4. 公众号/小程序所有者:授权第三方平台
这里的第三方平台可以理解为在微信开放平台上实现的应用。目的是让公众号或小程序运营商在面对垂直行业的需求时,通过一键登录授权给第三方开发者来完成相关能力。
具体授权表现为,当您使用类似“微信公众号管理后台”的服务时,系统会提示您使用公众号或小程序的管理员扫描微信ID进行授权,并选择能够允许第三方平台授权。授权后,公众号的能力将由第三方平台托管。
请特别注意此处的权限列表。当所有权限都被授权后,几乎相当于把你的服务号或者小程序完全交给了平台。平台可以为您发送消息、为您回复用户、管理用户、删除用户等。因此,如果您要授权第三方平台,必须确保它是值得信赖的平台,否则您的账户很可能被滥用,例如发布不良信息,导致账号被封禁等。
对了,微博授权登录也是同样的道理。如果授权能力包括发布微博,则该应用可以随时使用您的账户发布微博。我记得以前某个装修平台只要你在APP里看几张图片就会自动发布一条非常恶心的广告微博,而我却完全没有意识到。你的粉丝会认为你要么上瘾了,要么认为你靠做广告赚钱。
综上所述,即使在微信场景下,“授权”也包含多种情况。因此,无论是与普通用户的沟通,还是关于产品需求的沟通,都应该明确指出我此刻所说的是什么样的授权,这样才能让沟通更加顺畅。
