微信的授权管理是不是摆设

2018-03-18 14:03:57 +08:00
 7654
碍́于面子͢,帮̸亲戚朋̵友圈砍价̢,授权͏了̀某̢站获͘取基本̕信͟息授权̶,然̨后̨在̷隐私̕管̡理的͡授权͡管͜理页面͠里͘居̶然͟没̛有任何信͠息
曾经̀被支̀付宝坑过͞,̶因为͜Z͜FB͡的基本信̸息(̢头像昵̧称)里居̧然҉包括身份证电͢话̡信息͠
͘所́以̧微信́虽̶然提̴供了͟授权管理的͞页͢面́却不能̷提̨供̢取消功能,是͏不͘是用͠户信息不̛当̷回͏事啊
5099 次点击
所在节点    全球工单系统
26 条回复
liujunsheng
2018-03-18 14:08:11 +08:00
啥乱七八糟的玩意
7654
2018-03-18 14:18:28 +08:00
wukongkong
2018-03-18 14:20:07 +08:00
可以读取你设置的电话和地址
lhx2008
2018-03-18 14:23:17 +08:00
这个是伪命题,因为你授权了一次他就已经存在别人数据库里面了,你取消授权能删掉他数据库的内容吗?
kslr
2018-03-18 14:29:36 +08:00
这个授权是用户信息读取授权,没有后续操作
x86
2018-03-18 14:33:24 +08:00
正文是啥玩意
qiayue
2018-03-18 14:38:06 +08:00
不管你用微信登录网站、APP、小程序还是微信内网页,都只能获取你的公开信息(知道微信号或者手机号就可以搜索看到的)以及你的 openid (同一用户对不同 app 的 openid 是不一样的)。
其中小程序和微信内网页还可以获取你的收件地址,但是需要你单独主动授权,不是跟上面的公开信息一起授权的。
另外小程序还可以获取你的手机号码,同样需要你单独授权。

以上所有授权都是读操作,不能写,所以也就无所谓取消授权了,因为别人在读到之后都会保存到数据库。

微博、QQ 的授权,有写操作,可以帮你发微博,帮你点赞,帮你 QQ 空间发信息,所以才会有取消授权,取消之后就不能写操作了。
另外,微博、QQ 的授权也都是有时间期限的,超过期限也无法进行写操作。
Laynooor
2018-03-18 14:41:16 +08:00
Android Chrome 正文各种奇怪的方块
qiayue
2018-03-18 14:44:20 +08:00
另外支付宝的这个接口也获取不到身份证号码和电话
alipay.user.info.share(支付宝会员授权信息查询接口)
https://docs.open.alipay.com/api_2/alipay.user.info.share
qiayue
2018-03-18 14:47:15 +08:00
特地去微信授权管理页面看了
像录音权限、朋友关系这些授权都有关闭按钮

所以你仔细想想,为啥授权信息不关闭?因为你关闭了也没用,已经保存到别人数据库了,删也删不掉
turan12
2018-03-18 14:48:01 +08:00
楼主可以参考微信公众号的开发文档
https://mp.weixin.qq.com/wiki?t=resource/res_main&id=mp1421140839
7654
2018-03-18 14:52:00 +08:00
@qiayue #9 有过得,用小米运动 APP 授权了支付保,打算攒能量的,然后姓名身份证号全都看到了
所以那个括号里的等字很恶心
hoythan
2018-03-18 15:00:27 +08:00
第三方授权拿不到手机号和身份证信息,常用物流地址也要单独授权获取。
第三方授权只能拿到用户针对授权的唯一 ID,头像,昵称,城市信息之类的基础信息。手机号我至今不知道是怎么获取的,用户的账号也是获取不到的吧?
wizardoz
2018-03-18 15:00:36 +08:00
授权第一次的时候已经读取过了,你再取消有用吗?
如果你更新了个人信息,它要再次读取是需要重新询问你授权的。
qiayue
2018-03-18 15:05:46 +08:00
@hoythan 无法获取用户的微信号
小程序可以获取手机号
hoythan
2018-03-18 15:09:45 +08:00
@qiayue 小程序是例外,而且也需要专门的接口经过用户同意获取。直接拿到的授权里面和普通授权是一样的内容。
f2f2f
2018-03-18 15:22:22 +08:00
是的,他家设置里的授权管理基本没啥用……
janus77
2018-03-18 15:22:34 +08:00
我发过类似的主题 https://www.v2ex.com/t/435963 然而并没有满意的解答
针对各种观点:
1.说拿到会存所以是伪命题的:作为普通用户并不知道他能拿到什么信息,如果是敏感信息我会直接拒绝,如果非敏感我会允许。但是现在连一个判断是否敏感的方法都没有,我直接要求微信给个地方让用户手动管理。
2.用肯定的语气说「微信能拿到 XXX,不能拿到 XXX 」的:请拿出证据来
3.让我去查开发文档的:我现在是作为普通用户的身份而不是开发者,没有去查的义务,而微信有主动提供的义务,不一定是管理,至少是详细列举告知的义务,这不应区分是否是开发者。
(这一段也可用于回复第 2 点)
4.问我为啥不关闭手机号查找的:在不知道微信是否会泄漏手机号前,我没有必须关闭他的理由。而我如何得知是否会泄漏?见第 3 点,微信有义务让我得知。
janus77
2018-03-18 15:26:12 +08:00
@janus77 #18 除此之外还有一个特殊的场景:在某个微信闭环服务里(有注册,但只有微信注册,没有其他资料,也就是说想登录只能通过微信),想迁移服务内资料,这时候如何实现?个人认为这也是「授权管理」的一部分
7654
2018-03-18 15:40:48 +08:00
@7654 #12
另外看下响应示例里的 JSON 和 XML,XML 比 JSON 多出很多内容,姓名、邮箱、电话、证件类型有效期及证件号、还有地址,以上并不在提供响应参数里
<country_code>CN</country_code>
<province>安徽省</province>
<city>安庆</city>
<area>西湖区</area>
<address>西湖区文三路国际大厦</address>
<zip>3600</zip>
<email>sss@163.com</email>
<user_name>张三</user_name>
<mobile>13429199999</mobile>
<cert_no>340928109890871722</cert_no>
<gender>F</gender>
<person_birthday>19900101</person_birthday>
<profession>教师</profession>
<person_cert_expiry_date>20400101</person_cert_expiry_date>
<license_no>371702118008810</license_no>
<business_scope>餐饮</business_scope>
<license_expiry_date>20200101</license_expiry_date>
<firm_legal_person_name>李四</firm_legal_person_name>
<firm_legal_person_cert_no>320231196408110099</firm_legal_person_cert_no>
<firm_agent_person_name>王五</firm_agent_person_name>
<firm_agent_person_cert_no>320322197712211890</firm_agent_person_cert_no>
<deliver_mobile>13833334444</deliver_mobile>
<deliver_phone>0517-28888888</deliver_phone>
<address>XX 路 XX 号</address>
<zip>310000</zip>
<deliver_province>浙江</deliver_province>
<deliver_city>杭州</deliver_city>
<deliver_area>西湖区</deliver_area>
<address_code>100</address_code>
<deliver_fullname>张三</deliver_fullname>
<default_deliver_address>T</default_deliver_address>
所以只有鬼知道 API 里能提供多少信息

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/439107

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX