评论：如何让用户放心交出账号密码?

由：hidecloud

hidecloud — Sat, 14 Feb 2009 17:18:49 +0000

公开验证页面的代码并不会泄漏什么该站信息，验证一个状态而已。

由：Johnny

Johnny — Sat, 14 Feb 2009 16:21:13 +0000

公开源码这个肯定做不到，即使做到了也没用，他始终不会全部公开，或者说公开了那部分跟实际的不同。
这方面还是得考诚信吧

由：Cat Chen

Cat Chen — Thu, 12 Feb 2009 10:03:33 +0000

@hidecloud, 現在Google支持OAuth和AuthSub，你要讀取Gmail好友可以通過這種方式讀取。至於不支持OAuth或者AuthSub的服務運營商，可以直接去死了。

由：hidecloud

hidecloud — Thu, 12 Feb 2009 09:34:24 +0000

@Cat Chen, Oauth这个得从服务提供端考虑，我指的是在OAuth一类服务普及前，作为资料需求方的方案。

由：xiaolu

xiaolu — Thu, 12 Feb 2009 04:31:30 +0000

所以特怀念2002年以前的网络.
那时候人特单纯.

由：核心需求

核心需求 — Thu, 12 Feb 2009 02:07:18 +0000

现在网络越来越不安全了，什么骗术都有，只有纯洁的网络才能让用户安心。

由：猪头

猪头 — Thu, 12 Feb 2009 01:06:57 +0000

可以想FriendFeed的API一样，提供一个非密码的验证码来做账户验证

由：Cat Chen

Cat Chen — Wed, 11 Feb 2009 17:51:46 +0000

我想你應該去看看OAuth和AuthSub，GData支持基於這兩種協議的守保護資源請求。

基本原理，就跟你用uploader訪問Flickr時一樣，Flickr明確授權這個客戶端僅可以上傳還是瀏覽和刪除。只不過，OAuth可以根據具體根據業務邏輯設計上層協議，例如我要從Flickr某個相冊輸出照片到打印服務，那麼就僅僅授權這個相冊的只讀訪問，並且時間只有一個小時。當然Flickr不支持這樣的設置，只是打個比方。

最最重要的，這樣授權，第三方服務只能得到一個授權令牌，你不需要給用戶名和密碼它。

由：hidecloud

hidecloud — Wed, 11 Feb 2009 11:29:22 +0000

@oxygen, 不是一个用户在监督，而是所有用户啊。只要有一人发现问题就够了吧

由：oxygen

oxygen — Wed, 11 Feb 2009 11:27:34 +0000

如果用户看不懂源代码怎么办？

这种事情最好的办法还是长时间的积累，对于信用的积累以消除用户的疑心。