为什么不再推荐密码模式

首先简单了解下密码模式的做法

密码模式一般被应用于互相信任的内部系统&＃xff0c;比如公司内部OA系统可以通过密码模式请求认证中心进行认证&＃xff0c;步骤不会像授权码模式那么麻烦&＃xff0c;不过用户的账户和密码还是归认证中心管理的&＃xff0c;所以如果我们允许用户通过密码模式认证&＃xff0c;那么用户就得知道维护在认证中心的账户和密码信息。

为什么不建议使用密码模式

认证中心统一维护和存储用户的账户和密码等数据&＃xff0c;如果允许内部系统用密码模式来登录的话&＃xff0c;那么内部系统的人就肯定得知道账户和密码了。我们可以想一想&＃xff0c;假设微信是一个很大的认证中心&＃xff0c;内部有个系统要接入微信登录&＃xff0c;我们会选择把微信的账户和密码对这个系统开放&＃xff0c;以此来支持密码模式么&＃xff0c;很显然不可能&＃xff0c;此时只要有开发在代码中留下后门&＃xff0c;那么很可能内部用户在登录系统的同时&＃xff0c;也会泄漏了自己的微信账户和密码。我们反向思考下&＃xff0c;如果越少的人知道账户和密码&＃xff0c;是不是我们的账户就会越安全&＃xff0c;同理&＃xff0c;作为统一认证中心&＃xff0c;越少的客户端知道账户和密码&＃xff0c;认证中心是不是就越安全。

还有一点就是&＃xff0c;一开始客户端选择使用密码模式来登录&＃xff0c;后续会不会加上验证码功能&＃xff0c;手机号登录&＃xff0c;邮箱登录等等&＃xff0c;那么我们就得对该模式进行改造&＃xff0c;用户认证需求一变化&＃xff0c;我们代码就得跟着变化&＃xff0c;这就有点违背了开闭原则了&＃xff0c;而如果我们使用授权码&＃xff0c;不仅安全&＃xff0c;而且由于客户端和认证中心的协议是固定的&＃xff0c;就意味着交互流程是固定的&＃xff0c;那么此时认证需求的修改只需要改认证中心的代码&＃xff0c;并不需要修改客户端代码。

总而言之&＃xff0c;就是密码模式不安全而且不易扩展。