社交登录
社交登录 是什么?
社交登录一种允许用户使用 Google、Apple、Microsoft、Facebook、GitHub 等已有身份登录第三方网站的认证模式。
社交登录让依赖方将认证委托给大型消费者身份提供商,通常基于 OpenID Connect 或 OAuth 2.0。用户点击"使用 Google 继续"(或 Apple、Microsoft、Facebook、GitHub、LinkedIn、Twitter/X),在提供商完成认证后,应用获取 ID Token 和可信的用户信息声明。该模式可缩短注册流程、复用提供商的 MFA,并降低依赖方存储密码的责任。风险包括过宽的 scope、IdP 被攻陷波及所有关联应用,以及用户丢失 IdP 访问时产生的"孤儿"账户。最佳实践结合 PKCE 的 OpenID Connect、最小化 scope 与备用认证因素;例如"Sign in with Apple"要求支持邮箱中继。
● 示例
- 01
SaaS 注册页面通过 OpenID Connect 提供"使用 Google 继续"和"使用 GitHub 继续"。
- 02
电商网站接受 Apple "hide my email" 中继地址作为用户主要联系邮箱。
● 常见问题
社交登录 是什么?
一种允许用户使用 Google、Apple、Microsoft、Facebook、GitHub 等已有身份登录第三方网站的认证模式。 它属于网络安全的 身份与访问 分类。
社交登录 是什么意思?
一种允许用户使用 Google、Apple、Microsoft、Facebook、GitHub 等已有身份登录第三方网站的认证模式。
社交登录 是如何工作的?
社交登录让依赖方将认证委托给大型消费者身份提供商,通常基于 OpenID Connect 或 OAuth 2.0。用户点击"使用 Google 继续"(或 Apple、Microsoft、Facebook、GitHub、LinkedIn、Twitter/X),在提供商完成认证后,应用获取 ID Token 和可信的用户信息声明。该模式可缩短注册流程、复用提供商的 MFA,并降低依赖方存储密码的责任。风险包括过宽的 scope、IdP 被攻陷波及所有关联应用,以及用户丢失 IdP 访问时产生的"孤儿"账户。最佳实践结合 PKCE 的 OpenID Connect、最小化 scope 与备用认证因素;例如"Sign in with Apple"要求支持邮箱中继。
如何防御 社交登录?
针对 社交登录 的防御通常结合技术控制与运营实践,详见上方完整定义。
社交登录 还有哪些其他名称?
常见的别称包括: 联邦登录, Google 登录, Apple 登录。
● 相关术语
- identity-access№ 760
OpenID Connect (OIDC)
构建在 OAuth 2.0 之上的身份层,允许客户端通过签名的 ID 令牌验证用户身份并获取基本资料。
- identity-access№ 749
OAuth 2.0
开放的授权框架,允许资源所有者在不共享凭据的情况下,授予第三方应用对 API 的有限范围访问。
- identity-access№ 962
SAML
基于 XML 的开放标准,用于在身份提供方与服务提供方之间交换认证与授权断言。
- identity-access№ 643
魔法链接登录
一种无密码登录流程,用户通过邮件或短信收到一次性 URL,点击后即可完成身份验证。
- identity-access№ 708
多因素认证 (MFA)
在授予访问权限前,要求提供两个或两个以上独立认证因素(通常来自不同类别)的认证方法。
- identity-access№ 076
身份认证
在授予访问权限前,验证某个实体(用户、设备或服务)确实是其所声称身份的过程。