1.为微信企业版铺路，前段时间微信公开课张小龙在企业微信上说了蛮多，应该也是接下来的重点方向了；

2.很好地平衡用户的社交数量和质量。微信通过双开功能鼓励用户通过两个微信区分工作和生活，保证用户生活圈社交关系的质量。熟人社交类产品随着用户增长，伴随出现的一个问题：社交关系中出现越来越多的陌生人，伴随着社交质量的降低，e.g. 朋友圈越来越多的广告和低质量消息。如何在用户社交数量和质量中很好地平衡，是大型社交产品很重视的问题~

这里是小P的三省日记，从设计，产品，运营，商业等角度看问题的本质，偶尔更新，看心情，勤奋起来日更，懒惰起来季更，希望能给读者带来价值，长时间不更新还望多催促监督。

OAuth是个什么鬼东西呢？简单的说就是第三方登陆的背后的技术方案。

就是上面红圈里面这个鬼东西的技术方案

在互联网蓬勃发展，尤其是web2.0时代的到来，让各式各样的社区，网站，如雨后春笋一样蓬勃而出，网站变多，登陆和数据授权就变得越来越迫切，2007年，OAuth1.0正式发布。

受制于授权模式和技术方案，OAuth1.0有众多安全问题，而且OAuth实际上是面向web时代的一个技术方案，到了移动互联网时代已经完全不适用，尤其在安全性上面，比如在web时代，user端是有个URL概念的，看得到域名的。在安全性上面，问题没有那么大，但是在移动端，尤其是大量的App内置了一个webview，导致实际上用户使用OAuth1.0的方式授权的时候，比如使用QQ第三方登陆，跳转到一个网页，这个网页是QQ的登录界面，还是第三方恶意伪造的页面，是不知道的，这个时候就有很多安全性问题(QQ最近才开始不再支持OAuth1.0)。

直到移动互联网高速发展的前夜，2011年，OAuth2.0才正式颁布。第三方登陆迎来大发展。同时登陆意味着数据，将自己的账号体系开放出去，也能获得大量的第三方数据，同时在用户授权的情况下，可以获得很多授权网站的用户信息资源。

OAuth技术方案其实解决两个核心问题，一个是用户认证，告诉你，这个人是谁(就是赋予这个人一个唯一标识符)，一个是授权，在用户同意的情况下，给你我有的资源(昵称，手机号，身份信息等)。

OpenID其实着重在认证上面。该诉你，这个人是谁。这其实是绝大部分应用使用第三方登陆的时候的核心目的。基于这个，在技术上就可以有简化的一个接口。(所以在微信开发者文档里面，授权有两个接口，第一个接口最常用。)

1、以snsapi_base为scope发起的网页授权，是用来获取进入页面的用户的openid的，并且是静默授权并自动跳转到回调页的。用户感知的就是直接进入了回调页(往往是业务页面)2、以snsapi_userinfo为scope发起的网页授权，是用来获取用户的基本信息的。但这种授权需要用户手动同意，并且由于用户同意过，所以无须关注，就可在授权后获取该用户的基本信息。

OpenID的后背，是干掉登录

第一种，实际上是OpenID是在OAuth技术方案上面演化而来的账户体系。具体关系如下：

上面这张图里面，公众号A背后对应的是一个开发者，公众号和公众号之间的数据是不相通的，非常好地解决了隐私问题，同时，最关键的，在OAuth技术方案基础上面，提供两种接口方案，常用的第一种snsapi_base对应的接口，其实就通过静默获取的方式干掉了登录这件事。

这是天才的设计，又是微信的神来之笔，但是这个背后，其实是设计者，对于“ID”这个东西的深刻理解。

实际上，作为网络常用的通行证，邮箱是经常被使用的产品，作为很多个网站登录信息，邮箱可以说是网络“ID”的始发站。但是这个始发站，有很多实际问题，比如同一个邮箱作为登录账号，在某一个网站信息泄露，常常威胁到该用户其他网站的数据，因为用户的密码常常，很多网站都是一样的。所以，对于ID的理解上面，邮箱团队会更加深刻，思考地会更多一点。

密码学里面有很多原则和道理，就是如何增加密码复杂度来提升安全性，但其实账户安全不是技术问题，是社会学问题(这一点以后有时间会讲到)。其实最安全的方式，就是干掉登录。

现在，在微信里面的服务，基本上，登录都已经被干掉了。

2014年6月27日，微信开放新的用户登录接口内测，核心引入了UnionID机制。新机制带来的ID认知可以用下图表示：

一下子解决了开发者多个公众号开发的账户体系问题，减少了很多清洗会员数据的工作。UnionID的引入，进一步提升了微信环境下面“账户”的可用性，进一步干掉了“登录”这个动作。(在UnionID引入前，多个公众号的主体还是要通过自身的账户体系和多个公众号体系之间OpenID的映射，来打通自身在微信webview下面的账用户信息。)

在小程序时代，由于产生了新的应用体系，和原来的公众号体系完全不同，UnionID被更频繁地使用。

太方便了，但是在这里埋下了伏笔。

微信在ID的理解上面，是顶级地，能在安全的条件下面做到最方便，大大降低了开发者获取用户的门槛和成本，但是至少目前看来有两个缺陷：

Oauth技术方案，核心目的在于和第三方通信，会映射一个第三方的id和对应的OpenID绑定，API里面只有授权信息，核心在于认证和授权，所以OpenID的有效性没那么重要，但是微信环境里面不是这样的。微信的帐号生态系统里面的能力太多，还有交易和支付。

比如，当你在微信环境里面给对应的一个OpenID进行转账的时候，是不校验这个OpenID的有效性的，当这个OpenID不存在的时候，也是可以转账到零钱成功的，但是在这种海量的平台下面，会有很多开发者自己的风控不严，仰仗微信的ID体系自身的安全性，那么这种支付行为会成为一个恶意请求消耗完微信商户账户里面所有的钱。(再往深处，不能细想。)

唉，多说了，你们去翻一下抖音和微信的吵架新闻吧。“假设”抖音获得微信关系链孵化多闪APP，微信也不能大张旗鼓说抖音抓了微信关系链，因为这其实是隐私漏洞问题，FB至今还深陷剑桥分析公司的丑闻中不能自拔。

但是有一个问题是，在当前的微信生态系统下面，能不能获得微信关系链呢？

只要在微信环境里面的用户规模很大的，都可以。这里面关键在于微信环境的用户隐私策略，再朋友圈里面，只有好友可以看到自己分享的内容。怎么做到的呢？我们看一张图：

上图为基本模型，分享的文章URL只要含有用户A的识别字符串就行了，一旦B访问了A分享的链接，B就一定是A的好友，因为在微信里面，只有好友才能访问他的朋友圈，而这条内容的拥有者，比如今日头条原理上就可以知道A和B是好朋友。当用户B分享这条内容，URL里面的参数就换成B的唯一字符串就好了。

这里面关键点有两个：1、用户的OpenID是可以静默获得的；2、朋友圈只有好友可以访问，非好友不能访问。

基于上面的模型还有很多应用：

1、根据用户分享出来的URL的被访问次数，分析用户好友的关系程度。

2、根据多个用户的访问关系挖掘微信好友之间的关系。

前文讲到，UnionID有一个伏笔，就是UnionID不仅让体量大的开发者获得用户关系链，还可以让体量小的开发者通过收购合并转移公众号主体的方式获得用户关系链。

但是目前我们无法判断头条系有没有抓去微信关系链，但是抖音里面常常看到这个：

玩抖音的你，上图这个见过吧？一般情况下昵称也常常是微信昵称，一般情况下这个人启用了微信第三方登录了。

3、如何修补ID的漏洞？

第一个漏洞很容易修复，在微信支付的时候，增加有效性校验就行了，银行支付，也是有有效性校验的，如果对应的帐号或者用户不存在，是会支付失败的，主要看微信是不是愿意修复这个漏洞。

第二个漏洞，其实核心漏洞在朋友圈，在微信群是不会有这样的漏洞的，只需要修改访问渠道为朋友圈的授权规则就行了，但是所有的方案只是降低不能避免关系链泄露。

比如访问渠道为朋友圈的H5内容，强制为用户主动授权方式获取关系。来大大降低用户关系链被抓去的概率。

比如朋友圈渠道被访问的H5内容，可以静默获取UnionID，但是需要绑定一个事件，这个事件触发才可以获得对应的OpenID，这个事件，由微信定义。事件由使用次数等限制。

好长好无聊的一篇文章，唉。

四川盟正科技有限公司是遂宁网平台（以下简称「遂宁网」或「我们」）的运营者，本《隐私政策》（以下简称「本政策」）阐述了遂宁网将如何处理您的个人信息和隐私信息，并申明了遂宁网对保护隐私的承诺，遂宁网未来有可能根据信息处理情境不时更新或修改本政策。请您在向遂宁网提交个人信息或隐私信息之前，阅读、了解并同意本政策和任何补充政策。本隐私政策要点如下：
- 我们会逐一说明我们对个人信息收集、使用、保护处理的情况，以便您能够了解个人信息的概况。
- 当您注册遂宁网帐号和使用我们的服务时，我们会根据您的同意和提供服务的需要，收集您的个人信息（姓名、性别、年龄、个人资料照片或电话号码、位置信息和日志信息）。
- 除了产品的核心功能外，遂宁网提供一些附加功能来提升用户体验，包括：消息设置、邮件设置、推送通知设置。当您使用遂宁网的附加功能时，我们不会额外收集您的个人信息，除非根据本政策告知并取得您的同意。
-  当您在未登录状态下时，将显示为「游客」。为了更好地为您提供便捷流畅的社区体验，「游客」同样可以进行内容浏览。为了方便您查阅这些过往信息，我们需要获取您的设备号(IMEI码)以便记录存档。
- 目前，除法律法规、法律程序、诉讼或政府主管部门强制性要求外，遂宁网不会主动公开披露您的个人信息，如果存在其他需要公开披露个人信息的情形，我们会征得您的明示同意。同时，我们保证披露采取符合法律和业界标准的安全防护措施。
- 您可以通过本隐私政策所列的途径访问、更正或删除您的个人信息，也可以进行隐私设置或与我们取得联系。
您使用或继续使用我们的服务，即意味着同意我们按照本《隐私政策》收集、使用、储存、共享、转让和公开披露您的相关信息。

1. 我们收集的个人信息
个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括自然人的姓名、出生日期、身份证件号码（用户进行商家认证在应用内营销）、住址（用户购买物品需要寄快递）。此类信息会在您注册和使用我们的服务时被收集，遂宁网仅会出于本政策所述以下目的收集和使用您的个人信息：

1.1 您直接提供和我们自动采集的个人信息
注册信息。您使用遂宁网提供的服务，可以注册并登录经注册的遂宁网帐号。此时，您需要向我们提供以下信息：帐号名称、头像（如有）和手机号码。提供上述信息并同意注册协议和本政策后，您可以使用遂宁网的核心业务功能，包括：浏览遂宁网平台内的内容、发布提问、回答、评论、评价。在您注册遂宁网帐号时，我们会使用手机号码对您进行实名验证，如您拒绝提供手机号码或进行实名验证，您仍可浏览部分遂宁网平台内的内容，但将无法使用信息发布服务(提问、发布内容、评论、评价信息)。
- 附加信息。当您使用遂宁网附加业务功能时，为满足向您提供该产品和服务之目的，除注册信息外，您还需要进一步向我们提供包括您的个人身份信息、位置信息，如果您不使用特定产品和服务，则无需提供相关信息（以下将详细阐明）。
- 位置信息。当您开启设备定位功能并使用我们基于位置提供的服务时，我们会收集有关您位置的信息。该信息属于敏感信息，拒绝提供该信息仅会使您无法使用与位置信息相关的功能，但不影响您正常使用遂宁网的其他功能。
关键词信息。当您使用遂宁网提供的搜索服务时，我们会收集您的查询关键词信息、设备信息，为了提供高效的搜索服务，这些信息有部分会暂时存储在您的本地存储设备之中。该关键词信息通常无法单独识别您的个人身份，不属于您的个人信息，不在本政策的限制范围内。只有当您的搜索关键词信息与您的其他信息互有联系并可以识别您的个人身份时，则在结合使用期间，我们会将您的搜索关键词信息作为您的个人信息，与您的搜索历史记录一同按照本政策对其进行处理与保护。
- 真实身份信息。当您使用遂宁网提供的身份认证服务时，我们会收集您的姓名、身份证号、职业、有关身份证明。如果您不提供这些信息，我们将无法提供相关服务。
- 联系方式信息。当您向遂宁网进行帐号申诉或参与营销活动时，为了方便与您联系或帮助您解决问题，我们会收集并记录您的姓名、手机号码。如您拒绝提供上述信息，我们可能无法向您及时反馈投诉结果或向您邮寄礼品（如有）。
- 用户共享的信息。当您在遂宁网中使用第三方提供的服务时，您同意遂宁网允许该第三方收集您的帐号名称、头像及其他提供服务所必须的个人信息。如果您拒绝第三方在提供服务时收集上述信息，将可能导致您无法在遂宁网中使用该第三方服务。

1.2 我们可能从第三方获取您个人信息的情形
您也可以使用第三方帐号（微信、QQ）登录遂宁网。此时您可选择授权遂宁网在符合相关法律和法规规定的前提下读取您在该第三方平台上登记、公布、记录的公开信息。对于我们要求但第三方无法提供的手机号码，仍需您进行提供，这样我们才可提供后需的相关服务。遂宁网可能从第三方获取您的上述信息的目的是为了记住您作为遂宁网用户的登录身份，以便于遂宁网向您提供更优质的产品服务。您可以在使用第三方帐号登录遂宁网时选择授权遂宁网可获取的个人信息的范围，或在使用遂宁网的过程中通过【帐号与安全-社交帐号绑定】设置拒绝或管理遂宁网获取您个人信息的权限。但请注意，如果停止某些权限，您有可能无法享受最佳的服务体验，某些服务也可能无法正常使用。

1.3 征得授权同意的例外
根据相关法律法规的规定，以下情形中收集您的个人信息无需征得您的授权同意：
（1）涉及国家安全与利益、社会公共利益；
（2）与犯罪侦查有关的相关活动；
（3）出于维护您或他人的生命财产安全但在特殊情况下无法获得您的及时授权；
（4）从其他合法公开的渠道中收集您的个人信息；
（5）法律法规规定的其他情形。

2. 遂宁网会如何使用您的个人信息
我们会将您的个人信息用于以下目的：
- 帮助我们设计新服务，提升现有服务体验。
- 在我们提供服务时，用于身份验证、客户服务、安全防范、诈骗监测、存档和备份用途，确保我们向您提供的产品和服务的安全性。
- 邀请您参与遂宁网活动和市场调查。
- 开展内部审计、数据分析和研究，以更好地改善我们的产品、服务及与用户之间的沟通。

3. 我们会如何使用 Cookie 和同类技术

您使用我们的服务时，我们会在您的计算机或移动设备上存储名为 Cookie 的小数据文件。Cookie 通常包含标识符、站点名称以及一些号码和字符。我们使用该信息判断注册用户是否已经登录，提升服务/产品质量及优化用户体验。如您不希望个人信息保存在 Cookie 中，您可对浏览器进行配置，选择禁用 Cookie 功能。禁用 Cookie 功能后，可能影响您访问遂宁网或不能充分取得遂宁网提供的服务。
遂宁网不会将 Cookie 用于本政策所述目的之外的任何用途。您可根据自己的偏好管理或删除Cookie。您可以清除计算机上保存的所有 Cookie，大部分网络浏览器都设有阻止 Cookie 的功能。

遂宁网在提供服务的过程中，可能需要您开通一些设备权限，通知、相册、相机访问权限。您也可以在设备的设置功能中随时选择关闭部分或者全部权限，从而拒绝遂宁网收集相应的个人信息。在不同设备中，权限显示方式及关闭方式可能有所不同，具体请参考设备及系统开发方说明或指引。

4 我们会如何共享、转让、公开披露您的个人信息

遂宁网不会在未经您同意或授权的情况下将您的个人信息提供给第三方。但是，经您确认同意，遂宁网可在以下情况下共享您的个人信息。
- 在获取同意的情况下共享：获得您的明确同意后，遂宁网会与其他方共享您的个人信息。
- 共享给遂宁网的关联公司：在本政策声明的使用目的范围内，您的个人信息可能会与遂宁网的关联公司共享。作为一项政策，我们只会共享必要的信息。关联公司如要改变个人信息的处理目的，将再次征求您的授权同意。
共享给授权合作伙伴：遂宁网可能会与合作伙伴共享您的某些个人信息，以提供更好的客户服务和用户体验。遂宁网向您寄送礼品（如有）时，遂宁网必须与物流服务提供商共享您的个人信息才能安排寄送，或者安排合作伙伴向您提供服务。我们仅会出于特定、明确而合法的目的处理您的个人信息，并且只会共享提供服务所必要的信息。同时，我们会与其签署严格的保密协定，要求他们按照我们的说明、本政策以及其他任何相关的保密和安全措施来处理个人信息。
- 在法定情形下的共享：我们可能会根据法律法规规定、诉讼争议解决需要，或按行政、司法机关依法提出的要求，对外共享您的个人信息。 
- 本文下方有三方sdk收集个人信息的详细说明。

我们不会将您的个人信息转让给任何公司、组织和个人，但以下情况除外：
- 在获取明确同意的情况下转让：获得您的明确同意后，我们会向其他方转让您的个人信息；
- 在涉及合并、收购或破产清算时，如涉及到个人信息转让，我们会要求新的持有您个人信息的公司、组织继续受此隐私政策的约束，否则我们将要求该公司、组织重新向您征求授权同意。

我们仅会在以下情况下，且采取符合法律和业界标准的安全防护措施的前提下，才会公开披露您的个人信息
- 获得您的明确同意；
- 基于法律法规、法律程序、诉讼或政府主管部门强制性要求。但我们保证，在符合法律法规的前提下，当我们收到上述披露信息的请求时，我们会要求必须出具与之相应的法律文件。

5.1 如何管理您的个人信息
我们将尽一切可能采取适当的技术手段，保证收集到的有关于您的个人信息的准确性，并保证及时进行更新。
您也可以通过「设置」页面，按照遂宁网的相关政策及提示，对您的个人信息进行访问、更正及删除。
5.2 获取个人信息副本
您有权获取您的个人信息副本。如您需要获取我们收集的您的个人信息副本，您随时联系我们（联系方式在隐私政策尾部）。在符合相关法律规定且技术可行的前提下，我们将根据您的要求向您提供您的个人信息。

6. 我们会如何保护和保存您的个人信息
遂宁网重视个人信息的安全，我们采用密钥鉴权，数据加密，恶意代码过滤，定期数据备份，自动对帐等方式来保护您的个人信息，防止信息遭到未经授权访问、披露、使用、修改、损坏或丢失。我们会采取一切合理可行的措施，保护您的个人信息。
我们会采取一切合理可行的措施，确保未收集与遂宁网提供的服务无关的个人信息。我们会尽全力保护您的个人信息，但请您理解，由于技术的限制以及可能存在的各种恶意手段，在互联网行业，不可能始终保证信息百分之百的安全。您需要了解，您接入我们的服务所用的系统和通讯网络，有可能因我们可控范围外的因素而出现问题。
在发生个人信息安全事件的场合，我们将按照法律法规的要求，及时向您告知：安全事件的基本情况和可能的影响、我们已采取或将要采取的处置措施、您可自主防范和降低风险的建议、对您的补救措施。我们将及时将事件相关情况以邮件、信函、电话、推送通知方式告知您，难以逐一告知个人信息主体时，我们会采取合理、有效的方式发布公告。
同时，我们还将按照监管部门要求，主动上报个人信息安全事件的处置情况。
我们在中华人民共和国境内收集和产生的个人信息将存储在中华人民共和国境内，用户产生的信息会永久存储，日志信息会存储最近三个月的请求日志。如果日后为处理跨境业务，需要向境外机构传输境内收集的相关个人信息的，我们会事先征得您的同意，按照法律、行政法规和相关监管部门的规定执行，并通过有效措施（签订协议、核查），要求境外机构为所获得的个人信息保密。
我们仅会在达到本政策所述目的所必需的时限内保存您的个人信息，但为了遵守适用的法律法规、法院判决或裁定、其他有权机关的要求、维护公共利益，我们可能会将个人信息保存时间予以适当延长。

7. 第三方提供商及其服务
为确保流畅的浏览体验，您可能会收到来自遂宁网及其合作伙伴外部的第三方（以下简称「第三方」）提供的内容或网络链接。遂宁网对此类第三方无控制权。您可选择是否访问第三方提供的链接、内容、产品和服务。
遂宁网无法控制第三方的隐私和个人信息保护政策，此类第三方不受到本政策的约束。您在向第三方提交个人信息之前，请确保您阅读并认可这些第三方的隐私保护政策。

备注：安卓及iOS操作系统第三方SDK均列举在下方，部分三方sdk，不涉及用户隐私，所以未提供相应地址，此处将其官网列出来，便于用户了解，我们采用三方SDK仅用于提供SDK相关的功能，并不会将用户相关数据提供给三方SDK：

本政策由四川盟正科技有限公司依据『中华人民共和国网络安全法』，『信息安全技术个人信息安全规范』以及其他相关法律法规制定。公司办公地址位于四川省遂宁市万达广场1号楼1804 ，如您有疑问，可通过电话联系我们，信息保护负责人电话：。