前段時間在貼吧“Gmail 吧”討論得比較多的可以支持Gmail的郵箱客戶端 YoMail被指不安全， 而YoMail團隊聲明 YoMail 采用了 oAuth2.0登錄Gmail, 采用SSL傳輸數據， 可以保證用戶的密碼安全和郵件數據安全， 并且聲稱國內大部分郵箱服務不支持oAuth2.0， 大部分郵箱客戶端（比如Foxmail）也不支持oAuth2.0， 其實是不安全的。 那么oAuth2.0到底是什么？為什么支持采用oAuth2.0驗證的郵箱服務（如Gmail oAuth驗證）更安全？YoMail 到底安不安全？我們接下來會做詳細解釋。

　　關于 oAuth2.0

　　你在網站看到一篇的文章想要分享到微信朋友朋友圈或微博， 你在某團購網站網站上買了團購券需要用支付寶， 這時候這些網站會跳出微信、微博、支持寶的登錄界面， 用戶輸入微信、微博、支持寶的用戶名密碼后完成操作。 這個過程典型的Oauth2.0的驗證過程。 這里面有幾個步驟：

　　1. 用戶在第三方網站上連接微信的時候會被重定向到微信的登錄界面

　　2. 用戶接下來在微信的驗證頁面輸入用戶名和密碼， 這個時候， 你的用戶名和密碼是在微信的網站上輸入的， 而不是第三方網站

　　3. 驗證通過后， 微信會返回一個確認界面， 這時候用戶會被告知第三方程序需要訪問用戶哪些信息， 比如昵稱、頭像、比如分享到朋友圈的權限

　　4. 用戶點接受后， 微信會返回一個二進制 token給第三方應用， 隨后， 第三方應用就用這個token和微信、微博、支持寶交互

　　在整個過程中， 第三方應用并沒有獲取你的關鍵信息， 如用戶名和密碼。 自oAuth誕生以來， 社交網絡和電子商務迎來了爆發期， 因為他們提供了基于oAuth的API給第三方， 既保證了用戶的信息安全， 又給社交網絡和電子商務網站帶來巨大的流量。

　　電子郵件的 oAuth2.0時代

　　大家都知道， 用戶有時候更愿意用第三方工具訪問自己的郵箱， 如Outlook、Foxmail、郵箱大師、YoMail 等都是第三方郵箱工具， 這些工具可以訪問任何郵箱。

　　隨著移動互聯網時代的大爆發， 有大量的創業公司在開發各種郵箱客戶端， 如果保證這些郵箱密碼安全？oAuth2.0是答案。

　　目前國際郵箱大多支持 oAuth2.0 API 接口， 如 Gmail, Outlook.com等。 但國內大多數郵箱其實還不支持 oAuth2.0登錄。 這就造成了國內用戶對oAuth2.0很陌生， 也對創業公司的產品很恐懼。

　　郵箱的裸密碼時代

　　傳統模式下， IMAP（收郵件）和 SMTP (發郵件) 采了用 標準的SASL 協議驗證身份, 用戶名和密碼都是明文（plain-text）。 采用這種明文驗證方式， 郵件客戶端需要把用戶名密碼存在客戶端本地， 這種方式是非常不安全的。 我們發現 Foxmail 或Outlook登錄Gmail 只支持這種不安全的驗證方式 （密碼存儲在Foxmail本地）， 相當于Foxmail和Outlook獲取了你的用戶名和密碼。

　　明文密碼認證方式非常不安全， 但很可惜， 國內主流的郵箱客戶端都采用明文密碼認證方式。

　　以郵件發送協議 SMTP 為例， 下圖標明了SMTP發送郵件的全過程：

　　1. 連接到SMTP服務器

　　2. 使用 HELO 命名驗證身份

　　3. 輸入base64加密的郵箱和郵箱密碼 （注：base64可輕易破解， 和明文沒有差別）

　　4. 發送郵件

為什么支持Oauth2.0 的郵箱更安全？

（SMTP過程）

　　這個過程說明了 SMTP協議每次都需要輸入郵箱密碼， 所以郵件客戶端必須保存用戶的郵箱密碼。

　　oAuth2.0 時代， 用戶密碼得到有效保護

　　Gmail API 推出SASL XOAUTH2驗證方式。 在客戶端驗證開始之前， 客戶端會被重定向到 Gmail 官網驗證頁面。 接下來， 用戶的用戶名和密碼是在 Gmail 官方驗證 頁面輸入的。 驗證結會束后， Gmail給客戶端返回一串二進制的token， 隨后客戶端采用IMAP和SMTP 收發郵件時， 不需要再把密碼放在郵件頭中， 而是把這串二進制 token 放在郵件頭中。 這就解決了第三方應用獲取用戶郵箱密碼的問題。

　　Gmail Oauth2示意圖（來自Google API技術文檔）

為什么支持Oauth2.0 的郵箱更安全？

　　Oauth2.0 重定向登錄網頁， 中間路由器或代理會不會獲取用戶名密碼？

　　互聯網時間， 你的信息從電腦或手機發網服務器， 中間肯能或經過代理或無數個路由器， 中間路由器或代理其實還是可以截獲二進制數據。 那怎么解決這個問題? 答案是 SSL （安全傳輸層協議）

　　數據在發往服務器之前， 先對數據經行加密， 而解密的密鑰只有目標服務器才有。

　　YoMail的 “Gmail 安全登錄是什么？”

　　YoMail 登錄界面的 “Gmail 安全登錄” 就是 Gmail Oauth2.0 入口。 用戶點擊“Gmail 安全登錄”， 會被重定向到 Gmail Oauth2.0認證界面， 接下來的幾個步驟其實和YoMail 沒什么關系， 因為這是用戶在和 Gmail 直接交互， 中間傳輸采用SSL， 中間代理只負責轉發二進制數據， 但無法解開經過SSL加密的用戶數據， 從而保證了用戶密碼安全。

　　認證完成之后， YoMail用 Gmail 返回的Token訪問Gmail， 相反， 采用非oAuth2.0訪問Gmail需要在郵件頭中放置郵箱密碼。

　　SSL 保證傳輸安全

　　和普通傳輸方式相比， SSL方式會在傳輸前先對數據進行機密， 然后傳輸至郵件服務器， 中間路由器或代理就算截獲二進制數據也無法解密。

　　用戶使用 YoMail發送電子郵件， Gmail 或其它郵箱， 郵件首先會在用戶本地經行SSL加密， 然后傳輸至郵件服務器， 為了連上Gmail, 中間可能會經過路由器， 但采用SSL加密， 中間路由器是無法解密的。

　　但一般的郵件客戶端（如Foxmail）并沒有默認采用SSL， 很多非技術用戶很有可能選擇了普通傳輸方式， 郵件是明文形式發送的， 中間路由器可以輕易截獲郵件數據。

　　總結

　　國內的郵箱服務和客戶端目前還都比較落后， oAuth2.0這樣的安全認證協議可以有效保護用戶密碼安全， 希望將來能夠普及。

　　Gmail是鼓勵第三方應用采用 oAuth2.0來訪問Gmail的， YoMail的“Gmail安全登錄”其實就是采用了Gmail oAuth2.0接口， 是可以保證用戶密碼安全的；另外才傳輸層采用SSL， 保證了郵件數據安全。

　　來源：YoMail投稿。