今天,我正在使用一些网络安全工具,当我决定在Facebook上测试“忘记密码”链接时,我感到很惊讶。

我选择将密码重置代码发送到我的Gmail地址,然后之后,Facebook弹出另一个窗口,并显示一条消息,提示我不必担心密码重置代码,因为我已经登录了我的Gmail帐户。



他们怎么做?

我猜想它与OpenID协议有关,但是我是否不应该允许它以便Facebook与我的Gmail帐户进行交互?

评论

*如果您注销gmail,是否可以确认此行为不会登录? *登录/注销gmail时,您可以发布屏幕截图吗? *您可以在此事件期间打开Firebug / Chrome网络检查器并发布全部流量吗?

我记得使用Gmail图片时有一个窍门:如果可以显示,则表示您已登录。有关更多信息,请参见Google。

#1 楼

Google的OAuth令牌位于https://accounts.google.com/b/0/IssuedAuthSubTokens(与链接帐户不同)。

当我尝试使用Facebook时,Facebook使用OAuth创建了一个弹出窗口第一次提示时,在随后的尝试中仅短暂打开了一个空白弹出窗口。取消对Facebook的授权会使提示再次出现。

评论


这不是OAuth,而是OpenID。

– Yuliy
2011年11月6日在8:33

@Yuliy,可以肯定的是,我运行了一个使用Google Docs API的程序,并记住该API使用了誓言。

– gatoatigrado
2011年11月6日在8:47

是的,google使用了混合的oauth + openid协议(请参阅code.google.com/apis/accounts/docs/OpenID.html)。

– El Yobo
2011年11月6日,12:32

这是对的。如果您已将您的Google帐户与Facebook关联,他们可以验证您的GMail地址(具有立即的OpenID登录过程,无需任何用户界面)。在那之后,没有必要要求您通过发送到电子邮件等的验证码来验证密码更改。

–timdream
2011年11月8日,下午3:17

#2 楼

您是否查看过您的Google帐户以查看是否授予Facebook访问您的Google信息的权限?

评论


在哪里可以看到?

–浏览
2011年11月6日下午0:32

@Idigas-AFAICT仪表板显示它(google.com/dashboard)-顶部附近是“有权访问该帐户的网站”,这使我进入accounts.google.com/IssuedAuthSubTokens

–詹姆斯·曼宁(James Manning)
2011年11月6日下午6:50

如果您拥有Google+帐户,请直接转到此处。

– Alex
2011年11月6日,11:19

#3 楼

它使用OpenID。如果您以前使用过OpenID来使Facebook访问您的电子邮件(例如将联系人导入到Facebook),那么它将尝试这样做。如果您还没有这样做,那么系统会提示您授予Facebook访问权限(如果您拒绝,则只是去等待密码重置电子邮件发送给您)。

#4 楼

在“帐户设置”中,有一个“关联的帐户”部分,如果您登录到其他站点上启用了OpenID的帐户之一,则可以让Facebook自动登录。也许您忘了链接了Gmail帐户?

评论


不,不是那么不幸。我自己尝试删除所有关联的帐户。上面的事件仍然发生。

–phwd
2011年11月5日23:12

#5 楼

事实并非如此。如前所述,唯一可以访问GMail Cookie的站点是GMail。我刚刚测试了这种确切的方法,并且(从未获得过授权)弹出式窗口将我带到account.google.com子域上的页面,要求我授权对Facebook的访问。这正是我所期望和希望发生的事情。

OP可能已经通过Google Buzz或类似方式授权了此操作?