身份提供商可以假冒我吗？ （Facebook可以我的名义发布Stack Overflow问题吗？）

#1 楼

是的，他们可以。

简单的答案：您通常通过用户名和密码以某种方式向身份提供者进行身份验证。错误的管理员可以存储传输的凭证并重新使用它们。此攻击不取决于后端的实现方式。

通常，身份提供者的密码根本不用于对第三方服务的身份验证，这意味着您的身份提供者实际上具有您的登录密钥（您根本没有密码）。

您可以考虑将密码合并到身份验证过程中的方案，而不用事后不进行加密存储，但是实际上我不知道这样的方案方案。

#2 楼

TL; DR：
可以欺骗您的Facebook登录名的不良Facebook管理员可以在您的名字下发布不良信息在Facebook上，通常被认为比在Stack Exchange上发布问题要糟糕。

我的更详细的答案集中于OAuth 2.0，这是此用例的行业标准，并且位于OP1中Google的授权草图之后。

OAuth 2.0框架最初并不仅仅用于身份验证，而是有关授权的更一般使用情况：服务A想要访问用户在服务B上拥有的某些资源。例如，用户在服务A（照片编辑应用）上拥有两个帐户和服务B（Google云端硬盘）上。使用OAuth 2.0，用户会向应用授予访问其在Goole Drive上的照片的权限。注意事项：


服务A必须是在服务B上的已注册应用程序：在该示例中，开发人员必须在Google Developer上注册其照片编辑应用程序。启动授权流时，服务A通过客户端ID和客户端密钥（如果是服务器端流）或客户端ID和主机名（如果是客户端流）向服务B标识自己。
服务A将用户重定向到服务B的授权端点，并且用户只需要在服务B上输入其服务B的凭据。服务A无法欺骗服务B的登录名，因为它无法控制授权端点。服务B无法欺骗服务A的登录名，因为该登录名不是用户提供的。

服务A可以用来访问服务B上用户资源的最终令牌响应带有作用域。服务B将允许服务A仅访问授权范围内的资源。范围在重定向到的授权窗口中向用户说明。在示例中，来自Google云端硬盘的授权窗口将说明“此照片编辑应用可以在云端硬盘上查看和修改您的照片”之类的内容。然后，Google会允许该应用访问照片，但不允许在Google Plus上发布某些内容，因为它不在授权范围之内。

第三方登录是一种非常常见的特殊情况，其中资源用户拥有的是他们在服务B上的基本帐户信息。开发人员没有选择要求用户在其服务上进行注册，而是选择要求Google验证用户的身份。

只有当服务A信任服务B
，用户信任服务B

，系统才可以正常工作是指用户不必信任服务A。

但是，如果用户对服务A的信任程度高于服务B，则他们不应使用第三方登录名并在服务A上进行注册（选项可用）。

1原始帖子

#3 楼

是的他们可以。马里奥（Mario）解释了其技术原理。在这里，我将重点介绍信任部分。

您在计算机上执行的任何操作都意味着信任。您信任系统和手机的OS编辑器。您信任在其上安装的任何程序的所有编辑器。您信任您使用的任何在线服务。而且您相信银行不对您的帐户进行任何操作（这超出了信息学的范围...）。

但是在信任级别上还是有一定程度的。我相信航班预订系统足以购买他们的东西，但是我不相信他们会提供银行证明。无论如何，我对我的密码保险库程序足够信任。

因此，在信任链中，重要的是：链中的其中一个行为者是否仅应享有比整体行动更低的信任度？使用Facebook帐户进行SO可能很好，攻击的风险和可能的后果与我对Facebook的信任兼容，恕我直言。但是我永远不会在我的银行使用Facebook帐户（无论如何他们都不会提供）。当然，信任系统意味着对任何管理员的信任。

#4 楼

是。这就是为什么有可用的技术使此操作不可能实现的原因（例如，基于属性的隐私保护凭据），但到现在为止，对于普通用户来说，这被认为是不切实际的（而且我还不知道任何具有合理可用性的软件，而且零浏览器对此的支持）。这项技术不允许他们假冒您，甚至更多，因此无需连接中央提供商即可完成登录。 （当前方法的问题是，您将正在使用的站点泄漏给身份提供者）。