各位先進 前輩 大家好
最近遇到一個案子 內容比較特殊
使用情境為：
有 A 與 B 兩家公司
A 公司希望能撰寫一個客戶端 讓客戶使用
此客戶端 又同時能夠使用 B 公司的網路服務功能
如何運用 B 公司網路服務功能 我已經驗證了可行性
但要使用 B 公司的服務功能時
必須要讓使用者登入 B 公司的會員系統
我的問題是：
用戶必須在 A 公司的軟體上 輸入 B 公司會員的帳戶密碼
一般而言 用戶是會不放心的
當然我也想極力避免 但無論如何 一定都要輸入一次帳戶密碼
我想請問 要如何讓用戶放心？
加密解密一定會有
但是在伺服器處理時
一定得將用戶的密碼解密

和B公司商量，要一個使用加密後密碼登入的api

oauth不就是為了這個情境？

oauth是 但是如果b公司沒提供這個api應該也是會有問題要看b公司的登入機制怎麼做 如果是用token去請資料並且沒有過期的問題那應該就可行主要還是redirect_uri的問題沒辦法解決

講實在話，既然B不會同意提供這個api 那在a公司的軟體使用b公司的功能這件事很可能會有侵權問題 這等於是把b公司的服務提供給競爭者a公司的客戶使用 遲早會被告的

就把用B網站的功能做成CSRF XD

反向思考 提供API讓B公司的軟體登入A公司會員 (咦?)

B公司可能提供任何support? 不然乾脆請b公司開vpn好了

不就在A軟體登入畫面改成B系統風格，讓用戶覺得是在B系統一樣就好，就像是現在的第三方網站用FB登入一樣

樓上那是釣魚網站吧XD

這種公司，直接登出吧

你要拿客戶的帳密來登入B網站，就一定要知道客戶的B網站帳密，這做法客戶一定不放心。另一種方式就是客戶登入B網站你想辦法拿到B網站給客戶的session，或許透過類似木馬程式的方式監控取得session，這個不懂電腦的客戶可能放心一點其實更危險XD

回原po，別賺這筆了，很危險的感覺

對方公司也算是認真在做產品 請我們先評估可行性相信他們應該也會慎重考慮法律問題

其實也還好啦 你換個角度想 就像是zmud這種第三方軟體也是一樣會幫user存帳號密碼方便自動登入你存在local不要往A公司的後端送應該就還好吧或者說像是什麼moptt jptt這種也是差不多

這樣說也是吼 恍然大悟!

內嵌b公司會員登入頁面，應該可以，也不違法?只是這要求蠻奇怪的，等於是a公司用自己產品幫b公司打廣告

當你的產品有一點的競爭優勢時其實使用者根本不care._.不過唯一的部分可能涉及法律問題

出事絕對咬你0.0