所谓云厂家跳转到第三方如百度支付宝之类的实名认证真的安全吗？

liugogal

之前一直看到说跳转第三方扫码认证的比较安全，厂商拿不到信息什么的。

先不说sfz信息是否通过自身网页提交，我查看了几个提供实名认证服务的这些api，它本身就可以返回验证后的这些sfz人脸截图信息。

这不是没什么意义吗？

heyechuanmei

证件号和密码会存在云服务厂商的，但是他们没有人脸的技术和保密要求的标准，所以自己不敢搞，就调用第三方接口。三方接口本质上是替代了人脸这步骤，你的人脸是在第三方那里，但是证件号、和姓名、用户编号云服务厂商能拿到。只能说比直接拍照给他安全了

liugogal

heyechuanmei 发表于 2023-8-30 15:57
那就只能尽量不用了，还是大厂和外厂，妥妥的安全

以百度提供的实名认证接口为例


1.获取认证人脸接口
本接口返回进行人脸实名认证过程中进行认证的最终采集的人脸信息。根据Verify_token返回的结果信息会在云端保留3天，您可根据需要在此期间进行调取查询。

返回示例

{
    "success": true,
    "result": {
        "image":"https://brain.baidu.com/solution/faceprint/image/query?verify_token=xxxxxx"
    },
    "log_id": "1054986003"
}

liugogal

heyechuanmei 发表于 2023-8-30 15:52
证件号和密码会存在云服务厂商的，但是他们没有人脸的技术和保密要求的标准，所以自己不敢搞，就调用第三方 ...

我查看了api，人脸过程，或者叫**检测过程中的截图也是可以获取到的

Sandy

中国的实名认证就没有安全的，想什么呢

flyqie

liugogal 发表于 2023-8-30 16:03
所以所谓的第三方认证安全不过是一厢情愿的猜想了，这是方便厂商但是不是用来保护用户的。 ...

从某种意义上来说，保护了客户也保护了商家。

毕竟以前是要提交身份证照片的。。

liugogal

flyqie 发表于 2023-8-30 16:00
我之前就做过whmcs实名插件。。

很明确告诉你，安全但是不完全安全。

所以所谓的第三方认证安全不过是一厢情愿的猜想了，这是方便厂商但是不是用来保护用户的。

heyechuanmei

liugogal 发表于 2023-8-30 15:59
以百度提供的实名认证接口为例

那就只能以后多注意了

flyqie

我之前就做过whmcs实名插件。。

很明确告诉你，安全但是不完全安全。

调实名认证接口是因为商家没技术和数据来判断你填写的信息到底是不是你，所以需要第三方验一下，验完之后肯定要存的，一般不会存人脸，有些接口不给提供而且占用空间没意义，身份证号和姓名什么的肯定要存，不存的话那验证就没有意义了。

heyechuanmei

liugogal 发表于 2023-8-30 15:53
我查看了api，人脸过程，或者叫**检测过程中的截图也是可以获取到的

那就只能尽量不用了，还是大厂和外厂，妥妥的安全