用“密码代填”实现单点登录，安全吗？

密码代填是一种帮助用户实现自动登录的方式，它通过自动模拟用户填写账号密码的方式来进行登录，严格来说它不属于单点登录范畴，由于国内不少企业采用这种方式来登录日常应用，所以也成为了一种广泛应用的实现单点登录的形式。有人说密码代填很落后，有人说它有特定的应用的场景，那么“密码代填”到底安全吗？是否值得采用？本文就来深入探讨一下。

 

一、“密码代填”的几种常见方式

“密码代填”顾名思义就是程序代替用户填写登录信息表单，实现自动登录的过程。主要有以下几种实现方式。

1. 通过应用提供的接口获取账号密码

某些应用提供了特定的登陆接口，让第三方调用并传递用户名密码，然后就能实现登陆。即，在原本的登陆页面之外，额外提供了一个接口传递账号密码实现登陆。这种方式下密码信息会直接通过网络传输，安全性完全无法保证，这种方式非常原始，不提倡。

 

2. 通过POST接口直接提交表单

第二种方式是当用户点击应用时，身份认证服务提供商（IAM or IDaaS） 执行一段javascript脚本，直接调用应用的登陆接口，并将账号密码信息，通过POST表单提交的方式，直接向应用传递，直接登录应用。在整个的流程里，服务器通过执行一段javascript脚本，直接传输账号密码，是不会打开应用登录页面的。

这种方式实现起来最为简单，本质上可以理解为机器绕过了浏览器登陆页面，直接登陆了用户身份。

但随着大众网络安全意识的不断提高，现在越来越多的网站开始通过各种方式屏蔽机器直接登陆。其中最为常见的一种方法就是在登陆页面加载的时候添加随机Token——在登陆表单提交的时候，除了必要的身份信息，还需要携带此随机Token，防止机器直接提交账号密码获取用户身份，如下图所示，像 Github这样的应用就无法使用这种方式登录：