询问用户的第三方用户名/密码，就像Facebook的“查找朋友”功能

Question

前言

Facebook和其他网站都有向用户索取第三方网站证书的功能(见下图)。据推测，facebook然后使用凭证作为用户登录，并获取他们的电子邮件联系人，以匹配facebook的用户数据库。

问题

有人知道第三方网站需要这样的许可才能代表他们的用户登录吗？还是不需要许可？

我想这类似于把公寓钥匙给你的宠物保姆。唯一能阻止宠物保姆进入你公寓的是，如果综合公寓的TOS明确规定，没有人可以打开他们不拥有的公寓的门。但是那些TOS会适用于宠物保姆吗？还是只适用于与建筑群签订服务协议的租房者？

Answer 1

以这种方式传递证书纯粹是一个信任问题。请注意"Facebook不会存储您的密码“--用户必须记住他们的话，因为发送到服务器的任何东西都可以很容易地被它存储。但是，这个声明本身可以被看作是TOS，因为它是对用户的明确承诺。

传递身份验证的服务的TOS将告诉您是否允许。大多数(免费)服务对代表您进行身份验证的第三方没有限制，也不需要任何特殊权限。通常是由用户来决定如何处理他们的帐户信息。一些服务(如Google)可以更好地控制这些决策，包括双因素身份验证和特定于应用程序的密码。