Telegram 网页资源的自动登录
不久前,我们的订阅者注意到,当从手机或电脑版 Telegram App 点击打开链接 web.telegram.org 时,网页版 Telegram App 不会提示用户登录,而会立即显示其账户中的内容。@tginfo 编辑团队详细解释了 Telegram 自动授权机制。
发生了什么?
当用户从 Telegram App 跳转到某些 Telegram 网络资源时,他们不需要手动登录这些网站。App 在链接中添加了一个特殊令牌,允许资源自动授予用户访问权限,而无需请求他们的电话号码或云密码。值得注意的是,此功能已经在所有 Telegram App 中存在相当长一段时间了:至少 Android、iOS、Microsoft Windows 和 macOS 上的 App 的最近几个版本都支持它。
哪些资源支持该功能?
- web.telegram.org:Telegram 网页版 App
- web.t.me:目前跳转到官方网站主页 telegram.org
- a.t.me:跳转到 telegram.org
- k.t.me:跳转到 telegram.org
- z.t.me:跳转到 telegram.org
- instantview.telegram.org:即时查看平台
- translations.telegram.org:将 App 翻译成不同语言的平台
- contest.com:第三方开发者和设计师的竞赛平台
- contest.dev:通向 contest.com
- bugs.telegram.org:发布和查看用户错误报告的平台
- suggest.telegram.org:发布和查看用户建议的平台
- theme.telegram.org:开发 App 主题的平台
- promotion.telegram.org:广告平台
风险
在网页 App 中授权期间,会创建一个新的活动会话。用户将从 Telegram 服务账户收到有关此信息的消息,但相较于用户自行在网页 App 中授权,这种自动创建的会话会更容易忘记。关闭浏览器选项卡后,用户可能会忘记他们仍然处于登录状态。
网页资源上的授权是通过用户点击链接的账户进行的。如果用户之前已使用一个账户在网络资源上获得授权,然后点击另一个账户的链接,则最终会保留第二个账户的授权,而不是第一个账户。在某些资源上,这可能很难注意到。
App 和网络资源不仅没有提示用户输入授权数据,而且根本没有警告用户授权正在进行,这加剧了这两种风险。
如何改进?
如果 App 不提供静默授权,而是向用户提供确认要使用当前账户登录或取消此操作的选项,则可以将上述风险降至最低。不幸的是,目前 App 和资源都没有这样做。
Telegram Info 编辑团队建议 Telegram 管理部门改变 App 的行为,不再进行静默授权,而是让用户可以选择拒绝它:https://bugs.telegram.org/c/34337。