杂谈 吓自己一跳的新浪微博验证pin码

       今天无意之中做了一个傻瓜的测试，结果发现了一个自己吓自己一跳的问题。

      我所做的测试是这样子的：

      第一步，我点击获取pin码，在弹出一个页面之后，我发了这个链接给对方，让对方输入密码和账户进行授权，于是 等到了一个pin码，对方没有使用pin码直接登陆。

      第二步，我使用他给我的pin码登陆，结果登陆对方的号，在客户端里面显示对方的数据。

       结果 ，吓唬我一跳。其实，链接地址在授权之后就再也登陆不了，系统会提示错误信息，这样其实没有太大担心账户安全。至于生成链接的算法，我们没必要去理会。导致这个结果是因为发了我登陆链接给对方，让对方在这个链接下账号和密码进行授权，然后再给了pin码我登陆，而我根本不知道对方的账号和密码。这样做法，就暗示了在这个链接下授权后得到pin码，可以登录到对方的账号。这种有点傻，也有一点逻辑性的误解，只是无意之中发现这种情况，所以多少有点惊讶。

      流程：A将登陆链接发给B--->B在这个链接下进行授权和登陆-->B获取pin码发给A

               A输入pin码并登陆，结果B的数据在A客户端显示。

     其实这个测试没有多少意义，只是自己思维逻辑出现了一点问题，这种登录链接只能一次性有效，而其他人会不会怎么傻把这些信息告诉对方呢？

    引用官方文档里面一句话 “如果保存了用户认证过的Token，则不需要登陆，也不需要pin_onClick的调用过程" 在下次登陆的时候，先保存在客户端里面，然后再进行加载？这样可能会方便一点。
 

下面是XAuth申请的条件：

     随着新浪用户的增长，新浪微博的认证方式将加紧收缩了第三方的权限，第三方开发要是没符合xAuth认证的条件，就没那么好玩了。web应用并没有受到多少影响，其实这些受到影响的应该是桌面和移动平台比较多。新浪推出了官方认可的桌面版的adobe air 客户端，其实暗示了什么？大家都懂的。微博的用户率直升，安全隐患就是一个值得斟酌的问题，取消密码和账户直接在第三方登陆的方式，对于一个用户来讲就一点方便性都没有了，但是这是保证用户的一种安全手段，还是非常必须的。若果没有更多条件和新浪进行谈判，这个开放平台反而更多是变成收买卖平台，开放不怎样开放。曾经看过一篇文章关于腾讯微博是施舍还是开放？腾讯微博之所以没多少第三方支持最大一个问题还是用户账号安全问题，开发web应用是一条可以走的路，而对腾讯微博来讲第三方客户端已经没多大意义。

      无论怎样讲，第三方要是想获取更多数据权限，我想你没有更多谈判资本是不太可能，收紧条件开放，第三方想在这里拿到好处，那是天方夜谭的。从新浪微博开放至今，有多少个第三方从中得到满意的收入？这是一个很本质的性问题，就好比如一个作家，苦苦写成一本书，结果没有市场，还是累了自己。

      开发者是不是一个被商家忽悠的工具？ 玩这个游戏一开始就需要懂得这个游戏规矩，输赢规则不是由你来定，而我们玩这个游戏不是叫《大富翁》。要想在这里得到开发资金，需要投入时间和资金成本，而至于你在这里能否得到的满意的收入，我想只能占小数部分人。在收益分成上，有多少个应用得到了奖励资金？你不去伸手去问对方拿，那么对方愿意自动分给你吗？