第一次来, 在第三方登陆的这个功能上就失去了很多安全感, 本来看到这个网站希望能做的不要这么"中国特色", 但依旧失望了.
举两个例子, 第一次我选择了通过 twitter 认证, 结果这个只是用于登陆的认证就要求授权"更新 Profile", "帮你发推", "查看你的DM".
接着我选择了 google 账号, 结果它要求查看我的 联系人 资料.
很没有安全感
如果你开发过twitter的认证程序,你就会知道,twitter对权限只有两种区分“只读”和“可写”,其中可写的部分在用户授权时会提醒你,程序可能会用到你在问题中提到的那些功能。
因为我们在开发twitter的邀请回答功能,所以需要用到用户的写入权限,当然这些功能只在你自己主动使用时才会调用。
另外对于google帐号的使用,我们使用如下
https://www-opensocial.googleusercontent.com/api/people/@me/@self
这个接口,获取你的昵称和简介(这个接口只能获取这两个信息)。而google在授权时将这个接口中文翻译为联系人。你可以在授权的url中看到我们只对这个接口进行了授权。而它显然也不可能获取到其他有可能触及到隐私的东西。
如果这样也让你没有安全感的话,那就没办法了。我知道国内有些网站在授权的时候会让你自动关注官方微博或者发个推之类的,我们不会这么做。如果我们要这么做,肯定会透明的告知用户,而不会有任何黑箱的设计。