各位先进 前辈 大家好
最近遇到一个案子 内容比较特殊
使用情境为：
有 A 与 B 两家公司
A 公司希望能撰写一个客户端 让客户使用
此客户端 又同时能够使用 B 公司的网络服务功能
如何运用 B 公司网络服务功能 我已经验证了可行性
但要使用 B 公司的服务功能时
必须要让使用者登入 B 公司的会员系统
我的问题是：
用户必须在 A 公司的软件上 输入 B 公司会员的帐户密码
一般而言 用户是会不放心的
当然我也想极力避免 但无论如何 一定都要输入一次帐户密码
我想请问 要如何让用户放心？
加密解密一定会有
但是在服务器处理时
一定得将用户的密码解密

和B公司商量，要一个使用加密后密码登入的api

oauth不就是为了这个情境？

oauth是 但是如果b公司没提供这个api应该也是会有问题要看b公司的登入机制怎么做 如果是用token去请资料并且没有过期的问题那应该就可行主要还是redirect_uri的问题没办法解决

讲实在话，既然B不会同意提供这个api 那在a公司的软件使用b公司的功能这件事很可能会有侵权问题 这等于是把b公司的服务提供给竞争者a公司的客户使用 迟早会被告的

就把用B网站的功能做成CSRF XD

反向思考 提供API让B公司的软件登入A公司会员 (咦?)

B公司可能提供任何support? 不然干脆请b公司开vpn好了

不就在A软件登入画面改成B系统风格，让用户觉得是在B系统一样就好，就像是现在的第三方网站用FB登入一样

楼上那是钓鱼网站吧XD

这种公司，直接登出吧

你要拿客户的帐密来登入B网站，就一定要知道客户的B网站帐密，这做法客户一定不放心。另一种方式就是客户登入B网站你想办法拿到B网站给客户的session，或许透过类似木马程式的方式监控取得session，这个不懂电脑的客户可能放心一点其实更危险XD

回原po，别赚这笔了，很危险的感觉

对方公司也算是认真在做产品 请我们先评估可行性相信他们应该也会慎重考虑法律问题

其实也还好啦 你换个角度想 就像是zmud这种第三方软件也是一样会帮user存帐号密码方便自动登入你存在local不要往A公司的后端送应该就还好吧或者说像是什么moptt jptt这种也是差不多

这样说也是吼 恍然大悟!

内嵌b公司会员登入页面，应该可以，也不违法?只是这要求蛮奇怪的，等于是a公司用自己产品帮b公司打广告

当你的产品有一点的竞争优势时其实使用者根本不care._.不过唯一的部分可能涉及法律问题

出事绝对咬你0.0